 |
Hoje mais um email fraudulento escapou de meus filtros. Um “aviso” enviado em nome de globonews@globo.com anunciando concursos da Petrobras. São tão bonzinhos que enviaram até links para baixar as apostilas.
Todos os indícios de fraude estavam lá, incluindo textos mal-redigidos, arquivos suspeitos e erros crassos. No html o arquivo está listado como “iincricao”. O que me surpreendeu, entretanto, foi que os arquivos estavam hospedados não em um site perdido na Coréia, mas no servidor da CÂMARA DOS VEREADORES DE SÃO MIGUEL DO OESTE, SC. |
O email fraudulento. Clique para ampliar.
Uma análise dos headers mostra que os emails foram enviados através de um remailer, em http://moonsoup.propagation.net/ . O host já foi avisado. Não clique, há uma mensagem obscena lá.
Uma busca rápida levou direto para o site da Câmara, em http://www.camarasmo.sc.gov.br/. Tudo parecia normal. Seguindo o link dos arquivos, eles são ZIPs contendo cavalos de tróia, programas de invasão disfarçados de arquivos úteis, no caso as tais apostilas.
Entre outros o piratinha em questão está usando o PHP:chaploit, conhecido programa que cria um shell remoto, dando acesso ao pirata acesso a seu computador.
No diretório usado pelo pirata, http://www.camarasmo.sc.gov.br/temp/docs/ , podemos ver os arquivos malignos.
ATENÇÃO: NÃO CLIQUE. NÃO BAIXE NADA DESTE SITE SEM SABER O QUE ESTÁ FAZENDO. NÃO ME RESPONSABILIZO POR SUA CURIOSIDADE.
Sim, acesso liberado ao servidor.
Temos ali, além dos programas propriamente ditos, o script usado para enviar as mensagens, devidamente assinado pela forma de vida inferior que o fez:
A lista de emails usada também está disponível. Em um dos arquivos temos 75539 endereços. No outro, 190138 vítimas que receberam ou receberão em breve esse lixo.
Assim que constatei o crime, enviei a seguinte mensagem via página de feedback para a área de informática da Câmara Municipal:
Caros; gostaria de avisar que o seu site está sendo usado para divulgar emails e hospedar arquivos usados por hackers, os chamados cavalos-de-troia.
Vejam na mensagem abaixo, estao todos hospedados no diretorio temp/docs. É um ABSURDO um site oficial ser cúmplice, mesmo que por omissão, desse tipo de atividade criminosa. Por favor, solicito que não só removam os arquivos (que não devem ser executados de forma alguma) como abram uma sindicância para determinar se o crime foi obra interna ou uma invasão.
Obrigado.
Como resposta o site retornou:
Mensagem entregue com sucesso para informatica@camarasmo.sc.gov.br!
Pelo visto não adiantou muito. Isso foi na parte da manhã. Estou escrevendo este texto quase nove da noite. O site CONTINUA no ar, arquivos continuam surgindo, com mais endereços de email. Nosso hacker continua impune.
Estou reportando o caso para as polícias Federal e Estadual, bem como para todos os principais emails da cidade.
Aparentemente ou sofreram uma invasão mais profunda do que eu imaginei, com hackers monitorando os emails e apagando mensagens de denúncia, ou então há conivência do responsável pela área de informática da Câmara Municipal de São Miguel do Oeste.
É INADMISSÍVEL, em pleno Século XXI, um “profissional de informática” não abrir seu email durante todo um dia, em horário comercial. Em minha opinião isso é má-fé.
Quero ver o que vai acontecer com todos os lesados por essa fraude. Afinal, não são arquivos hospedados em um servidor perdido na Ásia, são arquivos em um SERVIDOR OFICIAL DE UM ÓRGÃO PÚBLICO.
O que vem a seguir? Lula disponibilizando AVIs de seus filmes preferidos no site do Planalto? Onde está a responsabilidade? Alguém vai ser punido? Esse incompetente que cuida desse site não vai ganhar bilhete azul? Qual a desculpa? Quando era responsável por sites sérios, downtime de minutos era inadmissível. Passamos CINCO ANOS sem NENHUMA invasão bem-sucedida, isso em ambiente Microsoft. Qual a desculpa?
Senhores Vereadores de São Miguel do Oeste: Por favor TOMEM providências. Não colaborem com a idéia de que vocês são cúmplices nesse tipo de falcatrua. Mostrem que mesmo uma cidade pequena pode e deve agir duramente. Os parabenizo por investir em Internet, por manter uma estrutura online bem ousada, inclusive com transcrições de suas sessões. Mas lembrem-se: Grandes poderes trazem grandes responsabilidades.
Sem NENHUMA ironia, se não podemos confiar nem nas instituições públicas, só nos resta a anarquia. O último a sair, puxe o micro da tomada.
[atualização] após mais de 24h, o problema foi corrigido. AINDA não recebi nenhum retorno por parte da área de informática da Câmara Municipal.
