[FUG-BR] (Off-Topic) Urgente para todos que tem squid.

[Joao Rocha Braga Filho]

Alguém bolou um dos ataques de engenharia social em massa mais bem
bolados que eu já vi. Muito sutil. Foi via Orkut.

Eu postei a seguinte mensagem nas comunidades de segurança do
Orkut que faço parte.

"
Um dos mais bem bolados golpes que já vi.

Descobri hoje um dos mais bem bolados golpes que já vi. Simples,
sutil, e eficiente.

Alguém criouum perfil no orkut com uma foto muito erótica mistrando
seios siliconados, e batizou de "milene rodrigues". Colocou uns
dizeres provocantes, como:

"
Uma MuLheR Q qR daH muiTo...

adorO sExo....

Qm KiseR mE cOmE

eH Soh me avizA....

fazE amor bem GosTozO
"

Criou uma comunidade chamada "Fuçei em seu Orkut" (Sim, com "ç".).
Preencheu com algumas coisas coerentes, tanto no perfil quanto na
comunidade. É a única comunidade deste perfil. Deste modo, sempre que
alguém for ver este perfil, verá a comunidade, que tem um nome
simpático, e coerente com a próxima etapa. Esta pessoa passeou por uma
grande quantidade de páginas de orkut, com algum robo, só vendo as
páginas, e anda mais. Não mandou mensagens, não chamou a atenção, não
incomodou, e nem nada. Só acessou as páginas.

Até este ponto só seria um golpe genial de marketing pessoal, para
conseguir uma comunidade cheia, muitos amigos etc. Teria usado a
curiosidade que as pessoas tem em saber quem viu as suas páginas,
coida que o orkut mosta. Mas agora que vem a parte mortal. Tanto na
comunidade, quanto no perfil, existem um link para uma página na
itália que tem um script obscuro, que carrega um programa executável
chamado fim.exe de um site no brasil, hospedado no provedor
e-hosting.com.br. Parece que o momento foi muito bem escolhido, pois
este provedor tem problemas de competência, pois não tem atendimento
telefônico nos finais de semana (Pelo menos hoje.) nos telefones,
anunciados em seu site, do Rio de Janeiro, São Paulo e Belo Horizonte.
Assim, todas as minhas tentativas de contatar ele falharam.

Eu vi em poucas horas a comunidade armadilha crescer em algumas
centenas de membros, mesmo eu me tornando membro e colocando o aviso
nela. Parece que as pessoas estão ignorando os meus avisos.

Sugiro a todos colocarem bloqueios em seus firewall e squids para o
domínio pistoia.cna.it e para o arquivo fim.exe. Eu já fiz isto aqui e
já apereceram registros nos logs do squid. Quem tiver contato com o
e-hosting, avise-os para procurar e remover o arquivo fim.exe que está
no site da flamity.com.br. Quem tiver como entrar em contato com dono
deste site, avise-os. Eu tentei e caiu em uma secretária eletrônica.

O meu squid já bloqueou alguns acessos a este site e este arquivo.

Vou espalhar este alerta.

Descobri por que, aparentemente, este fim.exe foi reconhecido pelo AVG
de uma pessoa que eu conheço e ela me mediu ajuda por telefone para
limpar o computador dela.


Atenciodamente,
João Rocha.
"

Desculpe-me se tem alguém do e-hosting aqui. Estava um pouco furioso
e frustrado com a dificuldade de contato com vocês. Eu mandei mensagem
pelo site e tentei ligar, mas sem sucesso.

Sugiro a proibição, no squid, para o domínio pistoia.cna.it e/ou baixar o
programa fim.exe.

Já informei ao clamav sobre o arquivo fim.exe, enviado uma cópia para
eles.

Talvez eu esteja fazendo tempestade em copo d'água, mas em um caso
destes é melhor pecar por excesso de zelo.


João Rocha.

-- 
"Sempre se apanha mais com as menores besteiras. Experiência própria."

goffredo at goffredo.eti.br
goffredo at gmail.com
http://www.goffredo.eti.br