Um pesquisador especializado em malware descobriu uma operação de envio de spam que afetou uma lista de 711,5 milhões de endereços de email. Especialistas afirmam que essa é a maior operação desse tipo já descoberta. Os emails – em alguns casos acompanhados das senhas – parecem ter sido reunidos com a intenção de espalhar malware destinado a obter informações bancárias.
O operador da ferramenta, Troy Hunt, reconhece, em entrevista à BBC, que alguns endereços eletrônicos não correspondem a contas reais. Mesmo assim, diz ele, o número de pessoas afetadas é “enlouquecedor”. Foi um especialista em segurança, baseado em Paris, que se autointitula como Benkow, o primeiro a descobrir o robô por trás da operação de spam. Segundo os especialistas, a base de dados de 711 milhões de emails pode ser dividida em duas partes.
Quando os responsáveis pelo esquema só conheciam o endereço do email, tudo o que faziam era enviar mensagens de spam para tentar convencer o usuário a revelar mais informações. Em outros casos, os criminosos tinham as senhas e outros detalhes dos emails. Desta forma, era possível “sequestrar” secretamente as contas e usá-las para incrementar ainda mais a campanha de envio de spam. Um software chamado Onliner era usado para fazer os envios.
Benkow reconhece que é “muito difícil saber de onde as informações dos emails vieram”. Mas sugere que parte dos dados roubados pode ter vindo de vazamentos anteriores, de uma operação de phishing (roubo de dados por meio de links falsos) no Facebook e de hackers que vendem informações pessoais de forma ilegal.
Em alguns casos, os criminosos tinham ainda os detalhes do código SMTP (“Protocolo de Transferência de Correio Simples”) e dos servidores dos emails. Esses dados técnicos podiam ser usados para “enganar” os sistemas de detecção de spam do provedor de esmail, fazendo chegar as mensagens que, de outra forma, não teriam alcançado as caixas de entrada. “Mesmo que seja uma lista muito grande, provavelmente não é maior que outras já vistas”, diz à BBC, por sua vez, Richard Cox, ex-chefe de informações do projeto Spamhaus.
“Quando uma conta comprometida começa a ser usada para enviar spam, essa atividade só pode ser interrompida se o usuário suspender a conta. Mas, com essa quantidade de contas envolvidas, os departamentos de segurança dos serviços de email ficam sobrecarregados, deixando o processo lento e permitindo que o spam continue sendo enviado”, diz Cox.
Benkow acrescenta que o software Onliner escondia imagens minúsculas, do tamanho de um pixel, nos emails que enviava. Isso permitia ao programa coletar informações sobre os computadores que recebiam as mensagens maliciosas. Graças a esse artifício o programa enviava, na próxima leva de emails, o arquivo malicioso específico para infectar cada tipo de dispositivo. As mensagens subsequentes costumavam ser disfarçadas como boletos de cobrança de prestadores de serviços. Por enquanto, os usuários podem descobrir se seus emails foram alvo da campanha de spam, mas não se as contas foram sequestradas. “Se você descobriu que está na lista de envio de malware, recomendo que você troque a sua senha e fique mais atento aos emails que você recebe”, afirma Benkow.
Atenção
O CTO da Avast, Ondrej Vlcek, considerou alarmante a quantidade de e-Mails vazada ontem de servidores do Onliner Spambot na Holanda. Segundo ele, a causa do incidente foi falta de proteção no endereço do servidor: “Embora todos os dias aconteçam vazamentos de listas de endereços de e-Mail, é a quantidade encontrada no Onliner Spambot que torna esse incidente verdadeiramente assustador. O vazamento foi descoberto porque uma URL do spambot, uma máquina na Internet cujo propósito é somente enviar e-Mails de spam, foi deixada sem proteção. Os spambots funcionam usando as credenciais de SMTP para fazerem com que um servidor envie um e-Mail quando o hacker quiser, disfarçado de mensagem legítima”, explicou.
Ondrej conta que muitas das credenciais (usernames e senhas) são as mesmas roubadas do grande vazamento do Linkedin em 2012 (117 milhões de credenciais): “No caso do vazamento do LinkedIn havia hashs (codificações) de senhas – enquanto a versão do Onliner é em texto claro –, mas é provável que esses hashes já tenham sido quebrados”.
Ele acrescenta que isso “é um bom lembrete para que os consumidores aumentem seus cuidados e criem senhas complexas, que não podem ser quebradas com facilidade. As vazadas devem ser mudadas, mesmo que o serviço onde são usadas não tenha sido diretamente invadido. Além disso, os usuários devem usar senhas exclusivas para cada serviço e evitar de repetí-las em diferentes plataformas, completa.
Fonte: G1 e BBC