|
|
Pequenos
golpes, grandes pilantras. Phishing scams, instalação
de cavalos de tróia e outras maldades.
|
|
Comprovante de
depósito em conta corrente
From: PagSeguro
UOL
To: Recipients
Sent: Friday, January 21, 2011 4:03 AM
Subject: Comprovante de depósito em conta corrente.
Sua compra protegida!
PagSeguro é a solução completa
para pagamentos online.
Segue em anexo o comprovante de depósito feito em sua Conta
Corrente. Pedimos que os dados e valores sejam confirmados através
do comprovante anexado para que em caso de divergência, o
problema seja corrigido.
Baixar comprovante
Atenciosamente,
Daniela Villar
Assessora Financeira, PagSeguro.
© 1996 - 2011 UOL - O melhor conteúdo.
Todos os direitos reservados. |
O programa executável
cp02957.com encontrava-se hospedado em
http://clin-eng.net e instalava o cavalo
de tróia Artemis! 75B3038CE051, Sus/BancDl-A
ou Trojan-Downloader. Win32. Banload.bgkb.
Cheque depositado.
From:
Viviane Reis
To: Recipients
Sent: Thursday, January 20, 2011 9:03 PM
Subject: Re:: Dep. Financeiro - Cheque depositado.
Cheque24082010
Boa tarde
Conforme combinado o cheque foi depositado,
favor conferir o anexo com o valor e os dados da conta.
Obrigada,
Viviane Reis.
--
Esta mensagem foi verificada pelo sistema de antivírus
e
acredita-se estar livre de perigo.
|
O
link contido em Cheque24082010 conduzia
para a página http:// www.anchorageclubmallorca.
co.uk/ plugins/user/ visualizar.php a prtir da qual se baixava
programa maligno.
Proposta (Orçamento)
From: paulo.almeida.marketing@gmail.com
Sent: Thursday, January 13, 2011 9:47 PM
Subject: Proposta (Orçamento)
Olá!
Conforme solicitado, estamos enviando uma cópia
do procedimento contratual da empresa para que vossa senhoria possa
analisá-lo e então nos retornar para que possamos
então dar continuidade na contratação dos serviços.
Favor entrar em contato caso exista alguma
dúvida. Atenciosamente, Paulo Almeida
Diretor de Marketing
Proposta...PDF Baixar(64,0 KB)
AWB: 369453
Protolo: 869478
Contrato: 273467
|
O programa maligno
encontrava-se hospedado em http:// 189.26.121.160/
gripnet/v1/ pdf.html?adobe_ x.asp.
Novo pedido de
orçamento
From: Novo
pedido de orçamento
To: contatos@radiadoreszago.com
Sent: Thursday, January 06, 2011 3:58 PM
Subject: Favor responder até 14/01/2011
1 anexo:
Orçamento.zip (23,8KB)
Olá, estamos fazendo uma pesquisa de preços,
e gostaria de saber o valor deste orçamento.
Obs.: (Favor encaminhar resposta para compras@oliveiramarchese.com.br
até dia 14/01/2011)
Aguardo Resposta.
Atenciosamente,
Oliveira Marchese
3619-..../ 9131-....
oliveiramarchese@terra.com.br
|
O programa maligno
encontrava-se hospedado em http:// ooorcamento.webcindario.com/
listaorcamento.zip.
Comprovante De
Deposito!
From: Financeiropromo-lorient@martins2010.com.br
To:
Sent: Wednesday, January 05, 2011 11:13 PM
Subject: Comprovante De Deposito! 
ComprovDeposito - 580420 (216,2 kb)
----------------------------------------
Ola, O dinheiro já foi depositado na sua
conta e já deve ter sido compensado.
Segue na mensagem, um anexo do comprovante de depósito
com os dados e o valor depositado, desculpe-nos o transtorno.
ATT: Martins Comércio e Serviços de
Distribuição S/A
Tenha um bom dia. |
O link contido em
ComprovDeposito - 580420 conduzia para
a página http:// www. tahviehhamoon.com/
templates/ HMN/images/ Comprovante.php? que fazia o redirecionamento
para http:// www.tropicalivefishecuador. com/
templates/ system/images/ Comprovante.exe Deposito897413212.
Psiu!
Assunto: Oi...
De: "Ana Carolina" <ana_carolina031@thebestgyrlss2.com.br>
Data: Ter, Janeiro 4, 2011 1:28 am
Psiu....
Ana_foto938.jpg |
O
programa executável Ana_foto005.exe
encontrava-se hospedado em http://www.la-cloture-electrique.fr
e instalava o cavalo de tróia Trojan. Flasher.xh,
TrojWare.Win32. TrojanDownloader. Dadobra.~JN13 ou
W32/Downloader.
Voçe
(sic) possui débitos pendentes
| Assunto:
Voçe possui débitos pendentes no SPC/SERASA.
De: debitos@web-serasa.org
Data: Qui, Dezembro 23, 2010 6:32 am
Prezado Cliente,
Comunicamos que consta em nosso banco de dados
uma pendência financeira em seu CPF / CNPJ, da qual não
foi quitada na respectiva data de vencimento.
Dia 23/07/2010 No valor de R$ 1.232,12 Detalhes>>>
Pedimos a vossa atenção a este comunicado,
pois, medidas legais serão adotadas, tais como a inclusão
no Sistema de Proteção ao Crédito (SPC) e
Serasa.
Você já efetuou o pagamento?
Envie o comprovante de pagamento para o e-mail
recebiveispme@br.experian.com
ou envie fax para (11) 2847.9761 (aos cuidados de Controle de
Recebíveis) com as seguintes informações:
1. Cópia do boleto ou número do
pedido
2. Fatura do cartão de crédito
3. Telefone para contato
4. Nome ou Razão Social
5. CPF ou CNPJ
Em até 5 dias úteis seu registro
será atualizado.
Em caso de dúvidas acione:
Pagamento
(11) 0800 110222 (das 8 às 18 horas)
Outras dúvidas
(11) 3003 7372 (24 horas por dia, 7 dias por semana)
Fale Conosco Clique aqui e nos esclareça
sua dúvida
ATENÇÃO: se a pendência já foi resolvida,
desconsidere essa mensagem.
O tempo de processamento em nossos registros é de até
5 dias úteis após o recebimento das informações
solicitadas. |
Dois destaques:
1. Voçe
possui débitos pendentes;
2. os dados sobre
o domínio web-serasa.org podem
ser obtidos em Whois.net.
O programa maligno
denominado Extrato_Serasa_ ID78112911.com
encontrava-se hospedado em http://web-serasa.org/consulta.php?sac
e instalava o cavalo de tróia Downloader. Banload.BEAQ,
Trojan-Downloader. Win32. Banload.bflg ou Trojan.
Dropper/ Gen-PHP.
Consulta
de preços
| From:
Adriana
Sent: Wednesday, December 22, 2010 11:49 PM
Subject: Consulta de Preços!
Estamos fazendo uma pesquisa de preços,
e gostaria de saber o valor dos produtos relacionados na tabela
anexada.
Pesquisa.zip
(177 KB)
Aguardo Resposta.
Atenciosamente,
Adriana
3019-4050 / 8122-6600
dptadm@hotmail.com |
O programa maligno
Packed-AA!AFCE2E68FDA3. PPS.exe encontrava-se
hospedado em http://speedy01.sytes.net
e instala o cavalo de tróia denominado TR/Crypt. XPACK.Gen,
Trojan-Banker. Win32.Banz!IK ou Packed-AA! AFCE2E68FDA3.
COMPROVANTE
PEDIDO Nº938332
Sent: Thursday,
December 16, 2010 8:54 AM
Prezado cliente,
Informamos que debitamos de sua conta corrente a quantia de R$
499,00 relativa a compra realizada em 15/12/2010.
Siga frequentemente o link abaixo para ver detalhes do envio de
sua mercadoria.
Caso desconheça essa compra entre em contato com o telefone
no comprovante.
Link para acessar o seu comprovante no Painel:
COMPROVANTE PEDIDO Nº938332 |
O
programa maligno encontrava-se hospedado em http://www.freewebtown.com/
tritonnova/ comprovantes938332.scr e instalava o cavalo de
tróia Trojan.Win32. VBDownLoaderU.a, W32/VB-Downloader-
Minimi-based! Maximus ou TR/VB. Downloader.Gen
conforme o fabricante do programa antivírus.
| Assunto:
Email Quota Exceeded
De: "Mail Administrator"
<mail.a1@gmx.com>
Data: Qui, Dezembro 16, 2010 6:15 am
Para: admin@admin.com
Dear User,
This is to inform you that you have exceeded
your E-mail Quota Limit and you need to increase your E-mail
Quota Limit because in less than 96 hours your E- mail Account
will be disabled. Increase your E-mail Quota Limit and continue
to use your Webmail Account.
To increase your E-mail Quota Limit to
2.7GB, Fill in your Details as below and send to the E-mail
Quota Webmaster by CLICKING REPLY:
EMAIL ADDRESS:
USERNAME:
PASSWORD:
CONFIRM PASSWORD:
DATE OF BIRTH:
Thank you for your understanding and corperation
in helping us give you the Best of E-mail Service.
Copyright ©2010 E-mail Service Webmaster
Centre |
É
o chamado phishing scam. Pilantra solicita envio do endereço
de e-mail do destinatário, da senha e do nome do usuário.
O pretexto é que o usuário teria excedido a capacidade
da conta de e-mail. De posse dessas informações, o golpista
acessa a conta e passa a enviar mensagens contendo outras tentativas
de golpe.
| Assunto: meu
video sex
De: <info@hi5.com>
Data: Dom, Dezembro 5, 2010 11:52 pm
OI VOCÊ SAIU DO MSN E NAO ENTROU MAIS
ENTAO TOU MANDADO MEU VIDEO PARA VOCCÊ ESPERO QUE VC GOSTE
ENTRA NO MSN MAIS TARDE PARA NOS CONHERCERMOS MELHOR BJOS ME
ADD
1 VIDEO BAIXAR
Arquivo de video 100% Seguro
Microsoft Corporation ®2010
One Microsoft Way
Redmond, WA 98052 |
O
programa maligno encontrava-se hospedado em http://www.freewebtown.com/
fyulki001/ foto.exe# DSC00286.JPG e instalava o vírus
Rogue.Agent/ Gen-Nullo[EXE].
Date: Thu, 9
Dec 2010 06:25:50 +0000
Subject: FATURA EM ABERTO
Empresa: ****** **********
Logon:********
Consta em nossos registros uma pendência,
FATURA EM ABERTO, associada ao seu logon.
Verifique, por favor, se a sua situação
se encaixa em algum dos casos abaixo:
1 - Você não recebeu sua fatura/boleto para pagamento?
Clique aqui para emitir nova fatura.
2 - Você já efetuou o pagamento?
Envie o comprovante de pagamento para o e-mail serasa@serasa.com.br
ou envie fax para (11) 2847.9761 (aos cuidados de Controle de
Recebíveis) com as seguintes informações:
Cópia do boleto ou número do pedido
Fatura do cartão de crédito
Telefone para contato
Razão Social
CNPJ
Em até 5 dias úteis seu registro será atualizado.
Clique aqui e mantenha seu endereço
de envio de cobrança sempre atualizado:
Em caso de dúvidas acione:
Pagamento (11) 0800 110222 (das 8 às 18 horas)
Outras dúvidas
(11) 3003 7372 (24 horas por dia, 7 dias por semana)
Fale Conosco Clique aqui e nos esclareça
sua dúvida
Verifique abaixo o endereço dos sites das prefeituras e
imprima a NF-e
São Paulo
http://ww2.prefeitura.sp.gov.br/nfe/
Santo André http://www.informe.issqn.com.br
Barueri http://www.barueri.sp.gov.br/e-iss/
Manaus http://nfse.manaus.am.gov.br/ma0101/info.aspx
Vitoria http://sistemas3.vitoria.es.gov.br/isiss/
Cuiabá http://cuiaba.issnetonline.com.br
Recife https://nfse.recife.pe.gov.br/capa.aspx
Joinville https://www.nfem.joinville.sc.gov.br/login.asp
ATENÇÃO: se a pendência já
foi resolvida, desconsidere essa mensagem.
O tempo de processamento em nossos registros é de até
5 dias úteis após o recebimento das informações
solicitadas. |
O
programa maligno doc_2343909352.scr encontrava-se
hospedado em http://www.digitoffice.hu/ office/SER/
?id=2343909352.
From:
To: undisclosed-recipients:
Sent: Wednesday, December 08, 2010 1:01 PM
Subject: video massa hehehe...
08/12/2010 14:01:45:374
video massa hehehe... O vídeo já está no
Orkut!
Olá,
Compartilhei um vídeo exclusivo no orkut. Me conte o que
você achou dele!
 |
Visualizar Vídeo.
19/10/2010 |
Se estiver com algum problema para visualizar
este Vídeo, confira o Vídeo
aqui |
A imagem
foi chupada do Orkut (http://www.orkut.com.br/ img/castro/
mail-orkut.gif). O programa maligno 05122010.zip
encontrava-se hospedado em http://newpromissa100.
110mb.com que, por sua vez, remetia para http://www.
cwts.com.cn/.
O cavalo de tróia
instalado é o
Trojan-Downloader. Win32.VB,
Downloader. Banload.BDNU ou
Mal_Bero.
No dia 05 de janeiro
de 2010, a mensagem continuava a circular e o mesmo cavalo de tróia
permanecia hospedado no mesmo lugar: http://newpromissa101.
110mb.com.
USAA: software
updating
From:
USAA.Web.Services@customermails.usaa.com
To: USAA.Web.Services@customermails.usaa.com
Sent: Monday, December 06, 2010 5:45 PM
Subject: USAA: software updating
Dear USAA cardholder,
We would like to inform you that we have released
a new version of USAA Cardholder Form. This form is required to
be completed by all USAA cardholders. Please fill in the form
below and send it to our automated email robot:
autoform_id34824@usaa-mailings.com
IMPORTANT!
Please use this subject line:
Cardholder Form ID USCHF6589641
CARDHOLDER FORM
First Name:
Middle Name:
Last Name:
USAA Card Number:
USAA Card Expiration Date (MM/YYYY):
USAA Card Security Code:
USAA Card PIN:
Please note that all fields of the form are
required to be completed.
Thank you,
USAA
To ensure delivery to your inbox, please add USAA.Web.Services@customermails.usaa.com
to your address book.
|
Golpe
manjado, mas que faz muitas vítimas. O remetente pede que o destinatário
mande para ele todas as informações do cartão de
crédito. Há quem o faça :(
Esta ai o Comprovante
de Deposito.
Assunto:
Esta ai o Comprovante de Deposito
Enviada: 05/12/2010 02:06
Anexo: comprovante_deposito.jpg
04-12-2010 ( 32 kb )
|
O programa maligno
encontrava-se hospedado em http://www.caveaixoise.fr
/components/ com_content/ views/site/ controle.php e instalava
o cavalo de tróia Trojan-Downloader. Win32.Banload
ou Trojan.Dropper/ Gen-PHP.
Recibo bancário
De: marina.financeiro@bb.com.br
Assunto: recibo bancario
Enviada: 04/12/2010 13:34
Comprovante de Transferência - 19036275
Comprovante em Anexo : Transferencia_19036275
Desculpe a demora, mas só agora consegui
transferir o seu dinheiro.
Segue na mensagem o comprovante de transferência interbancária
com os dados e o valor, desculpe o transtorno.
|
O programa maligno encontrava-se hospedado em http://www.festasdf001.
com/index.php.
Recibo de Deposito
Mensagem original
De: lavinia.financeiro@bradesco.com.br
Assunto: Recibo de Deposito
Enviada: 04/12/2010 12:40
Comprovante de Transferência - 19036275
Comprovante em Anexo : Transferencia_19036275
Desculpe a demora, mas só agora consegui
transferir o seu dinheiro.
Segue na mensagem o comprovante de transferência interbancária
com os dados e o valor, desculpe o transtorno.
|
O programa maligno
encontrava-se hospedado em http://www.vantmy001.
com/index.jpg e instalava o cavalo de tróia TR/VB.
Downloader. Gen, W32/Obfuscated. G!genr ou
TROJ_DLVB. SMIB.
ASCOL COBRANCAS
From:
juridico@ascolcobrancas.com.br
Sent: Sunday, December 05, 2010 7:39 PM
Subject: ASCOL COBRANCAS Boleto_Cobranca_Setembro_2010
ASCOL - ASSESSORIA de COBRANCAS LTDA.
Prezado cliente,
Consta em nosso sistema uma fatura vencida referente ao mês
de Setembro (09/2010),
Caso não tenha efetuado o pagamento segue o extrato em
anexo.
_
Anexo: http://www.fileden.com/
files/2010/4/20/2834631/ Boleto_Cobranca_ Setembro_2010.zip
|
O
programa maligno encontrava-se hospedado em http://www.fileden.com/
files/ 2010/4/20/2834631/ Boleto_ Cobranca_ Setembro_2010.zip
e instalava o cavalo de tróia Artemis! AD634E58C8FB,
Mal/ Behav-180 ou TrojanDropper. Agent.dguw.
EFTPS notification
number 01036364376887
| From:
Marcos Culver
To: Marcos Culver
Sent: Wednesday, December 01, 2010 7:58 AM
Subject: EFTPS notification number 01036364376887
Notification: Your Federal Tax Payment has been rejected
Status of your Tax Payment is Declined .
To get more details about your company status and tax payment
status, go to http://eftps.gov/ notifications/
01036318157334 Also forward information to your accountant
adviser.
WARNING!
You are using an Official United States Government System, which
may be used only for authorized purposes.
Unauthorized modification of any information stored on this system
may result in criminal prosecution.
The Government may monitor and audit the usage of this system,
and all persons are hereby notified that the use of this system
constitutes consent to such monitoring and auditing. Unauthorized
attempts to
upload information and/or change information on this web site
are strictly prohibited and are subject to
prosecution under the Computer Fraud and Abuse Act of 1986 and
Title 18 U.S.C. Sec. 1001 and 1030.
|
O link
http://eftps.gov/notifications/ 01036318157334
na verdade conduzia para a página http://www.nightautocom.
ru/trafflit.php.
O Firefox expõe o seguinte aviso sobre essa página:
"Página avaliada como foco de ataques!
"A página no site www.nightautocom.ru foi considerada
um foco de ataques e foi bloqueada de acordo com as suas preferências
de segurança.
"Focos de ataques são páginas que tentam instalar
aplicativos que roubam informações pessoais, usam o
seu computador para atacar outros ou danificam o seu sistema.
"Algumas destas páginas intencionalmente distribuem software
nocivo, mas muitos são comprometidos sem o conhecimento ou
permissão de seus responsáveis."
E mais:
"Este site hospedou malware?
Sim, este site hospedou software suspeito nos últimos 90 dias.
Ele infectou 19 domínios, incluindo 69.73.155.0/,
shuffles.net/, frb.org.uk/."
|
Siga pulhas virtuais no Twitter
Serviço
Central Nacional de Denúncias
de Crimes Cibernéticos
Netiqueta
Dicas
Arquitetando
Coelhos
e coelhinhos
Deixando Rastros
Guia do rock!
Refletindo
|
