A Receita Federal já cansou de alertar os usuários de que não envia e-mails solicitando qualquer tipo de informação pessoal dos usuários. Contudo, mais uma fraude circula na web utilizando o nome da instituição para ludibriar os internautas, e desta vez com um requinte a mais: a mensagem exibe um certificado digital que comprova a autenticidade do site.

Para dar um caráter maior de veracidade ao scam, o golpista inclui no código html do e-mail links para páginas no site da Receita - que de fato possuem certificado digital.

Quando a vítima abre a mensagem, um pop up alerta que está acessando um site certificado pela ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileira).

Embora a referência esteja associada somente ao link original inserido no código html da mensagem, a impressão do usuário é que o e-mail - que traz toda a formatação do site original da receita - é verdadeiro.

O argumento do scammer para fazer a vítima clicar no link malicioso é que algumas restituições foram calculadas de forma equivocada e que o usuário pode ter um saldo adicional a receber.

O e-mail oferece então dois links, um para o usuário que ainda não recebeu sua restituição e outro para aquele que já recebeu. Ambos acionam o download de um aplicativo malicioso.

Trata-se de um cavalo de tróia, que traz um programa espião que rouba a senha das vítimas e as envia por e-mail para o golpista, de acordo com análise de Ricardo Kiyoshi, especialista em segurança da Batori Software & Security.

Testes realizados pela empresa mostraram que o programa malicioso só foi detectado como vírus por 11 dos 24 antivírus analisados - entre os que falharam em identificá-lo estava o da Symantec.

A fraude foi reportada pela 3Elos, empresa especialista em segurança, que adverte que o novo recurso pode ser empregado a scams com outros temas, aproveitando outros sites que possuem certificado digital.

"A regra número um para fugir das fraudes é nunca acessar endereços a partir do e-mail. Se está em dúvida se realmente é um mensagem verdadeira, entre diretamente no site ou ligue para a entidade para confirmar se a convocação é real", recomenda Marcelo Pettengill, diretor da 3Elos.

Matéria original
http://www.istf.com.br/vb/showthread.php?t=8448

Fonte: ISTF, fevereiro 2006