Criminosos se passam pelos Correios para disseminar o cavalo de troia bancário Vadokrist

A ameaça é um malware amplamente atuante no Brasil, segundo a ESET

Foto: Divulgação

Muitas campanhas maliciosas têm exclusivamente o intuito de obter informações sobre suas vítimas, como foi o caso do phishing que se fez passar pelas Americanas.com. Mas em uma nova campanha do mesmo tipo, criminosos foram além e tentaram propagar o malware Vadokrist, um cavalo de troia (trojan em inglês) se passando pelos Correios. A ESET, empresa de detecção proativa de ameaças, nos trouxe o relato desse golpe envolvendo o nome da estatal como isca.

Essa nova tentativa de roubar informações se propaga via phishing e informa a vítima de que uma suposta encomenda tentou ser entregue via Sedex, mas o destinatário estava ausente e, por isso, o pacote retornou ao centro de distribuição. Segundo orientações destacadas no e-mail, para que a vítima possa retirar a suposta encomenda, é necessário baixar, preencher o formulário e levá-lo à central de distribuição junto com os documentos solicitados.

E-mail com instruções para o resgate da suposta encomenda
Foto: Divulgação/ESET

O link disponível leva a vítima a um site muito similar ao próprio e-mail. A página inicia um download imediatamente, assim que acessada.

Caso a janela de download seja encerrada, é possível perceber que o site é falso, já que as partes superior e inferior do site são duas imagens, não existe nada além do link de download disponível para que a vítima acesse. Isso faz com que seja bem mais simples de identificar que se trata de uma ameaça. Qualquer site legítimo, seja dos Correios ou de qualquer outra empresa, sempre terá diversos links disponíveis para que seus usuários naveguem por todas as opções que ele tem a oferecer.

Além dessa cópia grosseira feita com simples imagens, um outro indicativo de que se trata de uma ameaça é a URL da página que a vítima acessa, que é bem diferente do site dos Correios.

URL da campanha de phishing
Legenda: URL da campanha de phishing
Foto: Divulgação/ESET

O Vadokrist (malware disseminado por meio dessa campanha) é um malware bancário já examinado pela ESET. Caso você ainda não conheça ameaças do tipo trojan bancário, uma de suas principais características é ser silenciosa. A ameaça se oculta no sistema e espera que a vítima faça algum tipo de interação com os bancos que são alvos dos cibercriminosos. Assim que a interação acontece, por exemplo, quando a vítima abre o site/app do banco para realizar alguma operação, a ameaça começa suas atividades de captura de informações, que podem acontecer de diversas formas, dentre elas exibindo formulários falsos semelhantes aos usados pela instituição bancária para que a vítima preencha seus dados, mas os recursos são cada vez mais variados e com certeza não se limitam a simples exibições de tela.

Como evitar cair no golpe

Para evitar esses e outros tipos de ameaças, a ESET dá dicas de segurança que se encaixam bem nesse cenário:

  • Tenha atenção: Atentar-se a URL sugerida pelo e-mail, seja passando o mouse em cima do link ou olhando na barra de endereços do navegador é uma ótima medida de prevenção, elas sempre serão diferentes do site verdadeiro pertencente a empresa que os criminosos estão tentando forjar. Algumas ameaças conseguem causar danos as vítimas pelo simples fato de abrirem determinada URL.
  • Desconfie: Estamos em período de pandemia, o que significa que boa parte das pessoas estão em casa, ou seja, seria muito difícil que alguma entrega chegasse sem que fosse notada. Se uma entrega realmente não pode ser feita e é necessário retirá-la nos Correios, o site oficial da empresa informa os meios adequados para que isso seja feito e certamente não exige um formulário exclusivo enviado por e-mail.
  • Atente-se ao que é proposto: Algumas campanhas maliciosas, não se preocupam em esconder seus intuitos. A campanha dizia ser necessário preencher um formulário, mas fornecia um arquivo de instalação de software. Isso já traz fortes indícios de que se trata de uma fraude. Não baixe arquivos apenas porque uma mensagem te pede para fazê-lo.
  • Proteja-se: Esse é um exemplo clássico de propagação de malware, para que a vítima não fosse infectada pela ameaça o dispositivo em que o malware foi baixado precisaria estar protegido com um antivírus capaz de detectar e bloquear programas maliciosos. É recomendado que dispositivos como celulares, tablets, notebooks e computadores sejam protegidos por antivírus, algumas ameaças tentam se propagar pela rede caso não consigam infectar o host onde foram baixadas.

Correios

Entrei em contato com a assessoria de imprensa dos Correios no Ceará. Segundo nota enviada por e-mail (veja a íntegra abaixo), a empresa estatal esclarece que não interagem via e-mail, SMS, telefone ou enviam mensagem privada nas redes sociais sem solicitação e autorização prévia dos clientes, bem como também não dão permissão para que terceiros o façam em seu nome. Eu realmente não lembro de ter sido avisado de uma correspondência não entregue por e-mail. Geralmente é deixado um aviso por escrito. Se você tiver o app dos Correios, que nas lojas oficiais de aplicativos tem o nome de SRO Mobile (muito mais simples se fosse Correios do Brasil), há sempre alertas para suas encomendas. Aliás, desenvolvedores dos Correios: inserir uma opção de alerta, via notificação, a cada mudança de status da encomenda seria bem útil.

E voltando ao golpe, como bem disse a ESET, atenção ao link, ao e-mail em si, podem evitar maiores dores de cabeça não só neste caso, mas em outros golpes de phishing que existem por aí. Os hackers sempre vão buscar formas de tirar proveito de algum deslize seu. Por isso atenção máxima sempre que receber mensagens de e-mails ou via redes sociais ou WhatsApp. 

Veja a íntegra da resposta dos Correios:

"Os Correios esclarecem que não interagem via e-mail, SMS, telefone ou enviam mensagem privada nas redes sociais sem solicitação e autorização prévia dos clientes, bem como também não dão permissão para que terceiros o façam em seu nome.

Todos os perfis oficiais da empresa são verificados e, portanto, possuem o selo azul de autenticidade ao lado do nome da página. Caso um cliente receba esse tipo de abordagem suspeita, é importante ficar atento: não clicar em qualquer link, nem informar dados e, na sequência, excluir a mensagem. Atenção também para as ligações recebidas em nome da empresa, que tentam induzir o cliente a fornecer informações pessoais: os Correios não realizam essas interações.

Muitas mensagens eletrônicas falsas são disparadas citando indevidamente o nome dos Correios (Imprensa Correios; Sedex Brasil; Financeiro Correios; Correios Brasil) e informando sobre a tentativa de entrega de uma encomenda. Trata-se de spam, com links contendo vírus ou agentes maliciosos. Nas redes sociais, diversos perfis falsos se apresentam, normalmente, como “Suporte Correios”, oferecendo uma suposta ajuda em troca de informações dos clientes, para utilização indevida.

Esclarecimentos sobre esse assunto estão disponíveis no site da empresa e são, constantemente, reforçados nas mídias sociais da empresa.

Casos de crimes e golpes em ambiente virtual devem ser comunicados, por meio de boletim de ocorrência, aos órgãos de segurança. Os Correios reforçam ainda que vêm adotando todas as providências cabíveis para combater esse tipo de prática".