O vazamento de dados pessoais e senhas de milhares de contas de e-mail do serviço Windows Live Hotmail foi confirmado pela Microsoft nesta segunda-feira (5). De acordo com o blog oficial do Windows Live, a empresa afirmou que logo que tomou conhecimento do caso tomou as providências necessárias para impedir a divulgação das informações, iniciando um processo investigativo para determinar o impacto deste problema aos usuários das contas de e-mail.

Uma análise inicial feita pela Microsoft disse que “os dados não vazaram de dentro da empresa e que todos os esforços estão sendo feitos para que os usuários de e-mail recuperem suas contas”. A empresa recomenda que as pessoas que usam os seus serviços de e-mail “mudem suas senhas a cada 90 dias e utilizem programas anti-vírus em seus computadores para evitar novos problemas”.

Entenda o caso

O site Neowin divulgou nesta segunda-feira (5) que os e-mails e respectivas senhas de milhares de contas do serviço Windows Live Hotmail, da Microsoft, foram publicadas on-line. De acordo com a página – citada em uma reportagem da BBC –, um usuário anônimo postou os detalhes das contas no dia 1 de outubro no pastebin.com, um site usado para desenvolvedores compartilharem trechos de códigos. Os dados já foram removidos do site.

Entre as extensões de e-mail que tiveram dados publicados na internet estão @hotmail.com, @msn.com e @live.com. Ainda de acordo com o site, a lista continha informações de cerca de 10 mil contas iniciadas com as letras “a” e “b”. Por isso, é possível que haja ainda outras listas.

Desconfie de e-mails que não tenham um remetente conhecido. Ao receber e-mail de pessoas desconhecidas duplique o cuidado em relação às mensagens. Principalmente, pense duas vezes antes de clicar em qualquer ligação no conteúdo da mensagem. Não acredite em ofertas milagrosas (do estilo “almoço grátis”).
Não baixe e nem execute arquivos não solicitados

Cavalos de tróia e outros programas que capturam senhas são “não solicitados”, certo? Se alguém conhecido enviar um arquivo que você não pediu, verifique com a pessoa se ela realmente enviou o arquivo, e pergunte qual o conteúdo deste. Evite, ao máximo, executar programas. Programas que têm o nome do arquivo (a extensão) terminado em alguma dessas: .exe, .scr, .pif, .cmd, .com, .bat, entre outros, podem ser, em alguns casos, maliciosos.

Tópicos de segurança na Internet
Certifique-se de ter um antivírus atualizado no seu computador

Programas antivírus podem ajudá-lo filtrando possíveis ameaças vindas por e-mail. Entretanto, lembre-se: você é a primeira linha de defesa! O programa antivírus é a segunda linha. Os programas antivírus usam assinaturas determinísticas pra detectar programas maliciosos. As empresas de antivírus precisam primeiro receber um exemplar do vírus antes de prover uma assinatura e detectá-lo. Geralmente, a freqüência média de detecção dos vírus capturadores de senhas bancárias é menor do que 90%, independente da empresa que os fornece. Ou seja, mesmo tendo um antivírus atualizado não é garantido que o arquivo será identificado e bloqueado. Mas um antivirus atualizado aumenta as chances de detecção desses programas.

Certifique-se que o seu Windows (caso você use o Windows) esteja atualizado

Esse tópico não é exatamente relacionado ao phishing ou a mensagens recebidas por e-mail, mas é um item importante de segurança em geral na Internet. Estar com as atualizações automáticas habilitadas no Windows ajuda a corrigir possíveis falhas de segurança que possam existir. Tornando o computador menos vulnerável a ataques. Principalmente, pode evitar a instalação de programas spyware, ad-ware entre outros.
Certifique-se de ter um firewall habilitado

Mais um item não relacionado a phishing, mas a segurança em geral. Ter um firewall instalado e habilitado bloqueia algumas tentativas de acesso externo ao computador tornando menos vulnerável a possíveis ataques externos.

O UOL possui um guia rápido de configuração do firewall e configuração das atualizações automáticas pra diferentes versões do Windows.

Assuntos relacionados:

• Phishing
• Saiba mais sobre o Phising

E-mail

Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais, etc.

Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente coletados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores web mal configurados e computadores com conexão banda larga infectados com cavalos de tróia (trojans) propositalmente desenvolvidos para permitir o envio de e-mail em massa (spam).

Recados no Orkut (“scraps”)

Recentemente, o popular site Orkut.com tem sido muito utilizado para o roubo de informações bancárias através de mensagens de phishing deixadas no “Livro de recados” (“scrapbook”) dos participantes.

A identidade contida nas mensagens é de uma pessoa conhecida da vítima, o que aumenta a probabilidade de sucesso do golpe. Essa identidade é obtida, normalmente, pelo roubo (geralmente via phishing) do login e da senha do Orkut da pessoa que está “enviando” o recado.

O conteúdo do recado é algo pitoresco, tal como fotos de supostas festas, assuntos sobre celebridades, piadas, entre outras coisas. A mensagem contém uma ligação que aponta diretamente para um cavalo de tróia de captura de senhas bancárias (e as vezes senhas do próprio Orkut). Esse programa é manualmente baixado e executado pelas vítimas do golpe. Atualmente, está se usando técnicas de phishing via navegador no próprio orkut, os perfis dos usuários agora aparecem como ligações para sítios variados para phishing ou como apenas captura do endereco IP para mandar inúteis pop-up’s ou para encher e-mails de SPAM ou qualquer outro tipo de técnica seja qual for ela.

Roubo de informações bancárias

A forma de persuasão é semelhante à do roubo de identidade, porém a mensagem recebida contém ligações que apontam pra sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos fatores, que raramente acontece (e que não vale a pena ser explicada aqui).

No Brasil, o phishing via e-mail não vem apenas com o nome de entidades famosas. São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de tróia (trojan) bancário no computador do usuário.

Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail.Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.

Outro detalhe fundamental é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site sério de cartões requer que o usuário baixe qualquer arquivo!

Roubo de identidade

Uma técnica popular é o roubo de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras.

A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sítios falsos, normalmente muito parecidos com os sítios verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas. O conteúdo preenchido no formulário é enviado ao estelionatário.
Veja mais sobre o phishing

O que é Phishing ?

Phishing é um tipo de fraude eletrônica projetada para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing (também conhecido como phishing scam, ou apenas scam) é realizado por uma pessoa mal-intencionada através da criação de um website falso e/ou do envio de uma mensagem eletrônica falsa, geralmente um e-mail ou recado através de scrapbooks como no sítio Orkut, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras). Uma variante mais atual é o Pharming. Nele, o usuário é induzido a baixar e executar arquivos que permitam o roubo futuro de informações ou o acesso não autorizado ao sistema da vítima, podendo até mesmo redirecionar a página da instituição (financeira ou não) para os sites falsificados.