Caçando Criminosos na Matrix: Caso Real
Redação 18 anos atrás
A praga dos estelionatários virtuais não pára, mas da mesma forma que é muito fácil aplicar golpes online, é fácil se tornar um Agente Virtual, livrando o cyberespaço dessas anomalias sistêmicas. Veja no decorrer deste artigo todo o processo, desde a detecção de uma tentativa de golpe, a identificação do modus operandi, a eliminação da ameaça e até a descoberta da técnica de invasão. Em menos de 10 minutos, uma praga foi neutralizada, centenas de milhares de internautas ficaram mais seguros e o único prejudicado foi um script kiddie que no fundo no fundo, é only human.
Tentativa de Golpe
Como todos os dias, vários emails com tentativas de fraude escapam de meus filtros. Um deles apresentava o clássico layout "cobrança da Embratel". É algo muito tosco, feito por alguém que obviamente não conseguiu emprego programando em HTML para o Ray Charles. O email fala de uma pretensa cobrança. Diz estar em formato word, pede uma verificação numérica e ainda indica que deve ser dado duplo clique após o download.
Tela do pretenso email da Embratel
O texto é mal-escrito, o layout amador e o procedimento estranho mas mesmo assim milhares de pessoas caem nesse golpe todos os dias. É fácil para quem conhece apagar a mensagem, deixando para outros o problema de lidar com essa gentalha. É uma atitude egoísta, se podemos, com muito pouco esforço, atrapalhar a vida desses piratas.
Identificando o Golpe
Um simples exame do email mostra que o link aponta para um executável, download.exe, hospedado no servidor The Reaper's Minions, que não é um culto satânico, só um site de uma guilda de jogadores de Everquest.
O link original do arquivo apontava para:
A primeira impressão é que o site foi hackeado. Um fórum com milhares de mensagens não é um disfarce ideal para arquivos malignos. Domínios para tal em geral são criados em servidores gratuitos e duram poucos dias.
Comunicando o Crime
Entrando no fórum, fui direto no rodapé, identificando um administrador online. Na falta de um email, havia um contato de MSN. Abri o cliente, adicionei. Seguiu-se o diálogo:
[15:04] admin: Who's this?
[15:05] cardoso: Hi john, sorry to bother. My name is Cardoso, from Brazil. I'm trying to report a scam scheme, someone is using your board at the Reaper's Minion to spread malware.
[15:06] cardoso: are you the right person to report it?
[15:06] admin: o.O
[15:06] admin: I'm one of them.
[15:07] cardoso: The guy is spreading a classic trojan horse, using a fake mail. The link points at:
[15:07] cardoso: don't run it, unless you're using linux 😉
[15:08] admin: Thank you.
[15:08] cardoso: you're welcome. Have a nice day.
Segundos após o diálogo, o arquivo não estava mais disponível e o diretório protegido por senha.
Em segundos frustrei horas de trabalho de uma quadrilha enviando centenas de milhares de emails. Só não fui dormir com sensação de dever cumprido por ser 3 da tarde 😉
É algo simples, não requer muito. A maioria dos provedores é receptiva a esse tipo de denúncia. Se 1% dos usuários dedicar 10 minutos de seu tempo, identificando, reportando e neutralizando UM email de scam que seja, toda semana, a vida desses vermes se tornará insuportável, talvez a ponto de tentarem arrumar um emprego ao invés de ludibriar os outros.
Post Morten
Verificando o diretório, vi que o pirata estava usando um bug no EQDKP, um gerenciador opensource de Dragon Kill Points (quem joga Everquest deve saber o que é isso).
Um bug que permite inclusão de código arbitrário, upload de arquivos e tudo mais estava sendo utilizado. No site há um patch, mas se você não assina uma newsletter, um RSS ou acompanha diariamente as listas de segurança, está vulnerável. No caso do site, eles estavam.
Imagine agora que você tem um site rodando 40 a 50 aplicações individuais. Monitorar cada uma atrás de atualizações, estudar os logs de acesso atrás de anomalias, identificar consumo excessivo de banda, tudo isso faz parte de um modelo de administração responsável.
Parabéns ao John por ter reagido prontamente diante da denúncia, e melhor sorte ao piratinha da próxima vez.
Estamos de olho.
