“Recebi um e-mail como se eu mesma o tivesse enviado e não tem nenhum arquivo, apenas um número: 969. Não
entendi nada. Vocês já ouviram falar disso?” — foi a pergunta enviada por uma visitante da Linha Defensiva ao Dúvida do Leitor.

É importante entender que o campo “De” dos e-mails é muito fácil de ser falsificado. Tanto que diversas fraudes online utilizam o nome de diversas empresas e marcas conhecidas para tentar enganar o usuário. Esses e-mails não são enviados por essas empresas, mas sim por servidores comprometidos (invadidos) que não pertencem à essas empresas. Os servidores são configurados para enviar e-mails falsos, sempre colocando um endereço de e-mail que parece ser da empresa usada no golpe no campo ‘De’.

Existe uma tecnologia chamada Sender Policy Framework que tenta combater esses e-mails que possuem o campo ‘De’ forjado, mas poucos servidores de e-mail fazem o uso dela atualmente e, por este motivo, ela ainda não funciona com 100% de eficiência. Seu uso, felizmente, está crescendo.

Isso tudo significa que o e-mail com números, supostamente enviado por você, não foi enviado por você. A empresa de segurança F-Secure, em seu blog, comentou sobre as mensagens e sugeriu que os e-mails estavam sendo enviados por algum spammer para verificar a qualidade da lista de e-mails: se algum dos endereços voltar com qualquer erro, o e-mail será removido da lista para que ele (o spammer) tenha uma lista composta de apenas endereços válidos. Não se tinha certeza, no entanto, que era essa mesmo a causa.

Um documento publicado pela Symantec finalmente resolveu o mistério. Os e-mails com números são enviados por uma variante do conhecido vírus Beagle. Diferente de muitas outras variantes do Beagle, o Beagle.FC foi feito somente para capturar endereços de e-mail e, como inicialmente sugerido, ele verifica se os endereços são válidos ou não enviando mensagens contendo apenas números. Isso significa que, caso você tenha recebido um e-mail desses, seu endereço de e-mail foi capturado por spammers que enviarão mensagens indesejadas para o seu endereço.

Você não está infectado: o vírus faz o download de uma lista de e-mails de um servidor remoto, o que significa que mesmo que a pessoa infectada não lhe conheça, ela enviará e-mails para você como se fosse você, sem saber. Depois de capturar os e-mails e verificá-los, o vírus se desinstala do sistema automaticamente. Isso significa que, mesmo que você esteve infectado, você provavelmente não está mais.

O e-mail em si não possui qualquer código malicioso: ele não tenta infectar seu micro com spywares, ele não tem os famosos “web bugs” nem qualquer anexo ou link que poderia levar para um trojan. Ele foi enviado apenas como teste pelo vírus para ver se o seu e-mail era válido e ainda funcionava.

Se você recebeu e-mail um e-mail desse tipo, saiba que você não está sozinho, mas que seu e-mail está na lista de algum spammer que, dentro de alguns dias, provavelmente começará a lhe enviar e-mails ainda mais incômodos.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

29 Comments

  1. Pedro Paulo 07/06/2006 às 07:27

    Grande ajuda! Pena que agora é a calmaria antes da tempestade… :(

    Quando recebi essa sequência no meu Gmail achei que era algum bug ou um envio acidental, parece que já estou marcado.

    Parabéns a equipe Linha Defensiva!

    Curtir

  2. Helvio Mota 07/06/2006 às 10:45

    Recebi um e-mail desses no meu Gmail. Só por via das dúvidas, dei uma incrementada na senha.

    Curtir

  3. Eu tb recebi esse e-mail, mas com números diferentes…

    E era de mim mesmo!

    Curtir

  4. também recebi números diferentes. Mas… e agora? o jeito é esperar o google fazer alguma coisa?

    Curtir

  5. Tambem recebi. O importante é voce não abrir o email conectado. Existe a tecnica de web bug que são pequenas fotos de 1×1 pixel (invisivel) que os spammer´s colocam na mensagem que quando abrimos ela online alem de validar o seu email, confirma que voce leu a mensagem.

    Procurem por web bug no google para saberem mais.

    Curtir

  6. Esta técnica de forjar o remetente com o próprio endereço do destinatário é uma forma de os spammers burlarem os filtros anti-spam – afinal, dificilmente alguém bloquearia mensagens provenientes do próprio email.

    Curtir

  7. Sim, além disso ele instalaria um spy no teu micro que faria com que os e-mails fossem reenviados através da tua máquina… viajei??

    Curtir

  8. O meu veio enviado por mim mesmo com o assunto re: 57657.

    Acabei abrindo e dentro havia outros números. Abri seguindo conselho do atendente da UOL, para que enviasse para um detrminado endereço, de forma que pudesse se identificar de onde tinha partido. Abri, segui os passos e não deu certo. Acabei deletando. A conversa com o atendente da UOL tenho arquivada aqui.

    Curtir

  9. SidVicious

    Não! O spam contém apenas números. Os e-mails não são enviados a partir da sua máquina. O campo “De” é mais fácil de se falsificar do que o remetente de uma carta.

    pezzano

    Não entendi exatamente o que ocorreu, mas todos os e-mails não são enviados a partir da sua máquina e sim através de micros infectados. O campo “De” da mensagem é falsificado para parecer ter vindo de você, mas não é.

    Curtir

  10. Eu recebi no e-mail da empresa… achei estranhíssimo. Uma msg enviada por mim as 4:30 da madruga rsss.
    Esse povo não temmais o q inventar.

    Curtir

  11. Eu tb recebi um email assim.
    Achei bem estranho.

    Curtir

  12. Recebi esse e-mail em meu gmail de mim pra mim. E ele constava na pasta dos itens enviados. Como? Meu filho também recebeu.

    Curtir

  13. Se todos nos retornarmos o email assim que recebermos nao vamos sobre carregar o servidor deste spammer e zuar com que esta nos zuando ? ….
    Eu li isso uma vez em algum lugar sobre Combate a Spams

    Curtir

  14. Recebi, também, os nos. 57657, enviado por mim mesmo. Que devo fazer?

    Curtir

  15. A propósito, já recebi muito spam onde além do objeto do spam – propaganda de algum produto ou serviço – havia seqüências de caracteres sem sentido, listas de palavras desconexas ou frases aparentemente pinçadas de livros. Há algum propósito nisso ? Se estes caracteres forem únicos para cada destinatário poderiam servir para identificá-lo de alguma forma ?

    Curtir

  16. Estava até agora tentando entender o e-mail que recebi de mim com números, no meu caso os mesmos “969”. Obrigado à equipe da Linha Defensiva!

    Curtir

  17. Uma boa solução para esse e outros “ataques” de SPAM é cobrar de seus provedores a instalação de um recusrso chamado GreyList.
    A idéia é bem simples: esse serviço recusa todos os e-mails que chegam e pedem pro servidor de origem reenviar a mensagem.
    O truque está em que 99.99% dos spammers e dos seus servidores não envia o mesmo e-mail duas vezes, ou seja, esse servidor utilizado para enviar spams não “entende” a recusa do GreyList e, portanto, não envia o e-mail, mais uma vez.
    Na segunda vez que o e-mail for enviado (o mesmo) o GreyList deixará ele passar.
    Simples, eficiente e extremamente seguro. Pena que não tem como colocal algo assim nos micros comuns. Isso tem que ser feito nos servidores de cada provedor.
    Cobrem. Mas cobrem de verdade.

    Saudações Livres,

    Anahuac

    Curtir

  18. Maria Angélica Vicente 09/06/2006 às 21:43

    Assim como todos os autores dos comentários e mais alguns milhares de usuários que não estão aqui, também recebi o e-mail. Parabéns ao grupo da “Linha defensiva” por fazer o trabalho informativo acerca das imbecilidades que somos obrigados a engulir na era high-tech.

    Curtir

  19. Também recebi esse tipo de email no gmail há 4 dias, e pensei que se tratava de um envio acidental feito por mim mesmo. E agora?? Existe algo que possa ser feito??

    Curtir

  20. Tb recebi uma sequência de números de mim mesmo e achei muito estranho pq a mensagem foi direto prá quarentena do UOL. Mas como todos nós somos curiosos, não aguentei a curiosidade e abri. Acho que vou pagar caro por essa curiosidade.

    Curtir

  21. Rosalva

    Isso aconteceu porque o Gmail trata todo o e-mail com o seu endereço no campo “From” (‘De’) como se você tivesse enviado, mesmo que ele não o enviou.

    kidjim

    Além de isso ser ilegal, você não vai conseguir atacar o spammer, pois os e-mails são enviados por usuários infectados com uma versão do Beagle. Tem como você sobrecarregar o site anunciado no spam: o Blue Frog, da Blue Security, tentava isso, mas falhou. Novos softwares estão surgindo com o mesmo objetivo, mas sua eficácia ainda é duvidosa.

    Aldo & Thiago

    Nada. O e-mail é apenas um sinal de que o seu endereço foi parar nas mãos de um spammer. Não há nada para se fazer. Apague a mensagem e torça para que o spammer não lhe perturbe com novas mensagens indesejadas. Você também pode instalar um anti-spam se quiser evitar futuras mensagens com propagandas.

    Alberto

    Os e-mails são geralmente identificados por um cabeçalho chamado ‘Message-Id’, que geralmente não é exibido nos programas de e-mail, mas está na mensagem.

    Curtir

  22. Eu fui uma das vítimas/destinatárias do e-mail numerado e fiquei apreensiva devido a constatar que eu própria havia me enviado esses números. Mas tenho a técnica de averiguar o “De” clicando o mouse do lado direito verificando “propriedades” depois, “detalhes” , depois “código da fonte da mensagem” para confirmar o servidor e o e-mail responsável pelo envio.
    Minha dúvida é: se essa invasão é um problema sério, como ficamos quando acessamos nossas contas bancárias para pagamentos? Gostaria de uma resposta para me proteger a partir de agora.

    Curtir

  23. Lulu

    Esta não é uma invasão séria. Ela não instala nada na sua máquina. Foi apenas alguém enviando um e-mail para confirmar que o seu endereço era válido.

    Curtir

  24. Acho que não me expressei bem. O que imagino é que cada destinatário receba uma seqüência diferente de caracteres. É possível que o spammer de alguma forma consiga de volta esse texto e dessa maneira possa associá-lo ao destinatário que abriu tal mensagem ? Isso serviria para validar listas de emails, por ex.
    Outra coisa que me ocorre: o hotmail tem um mecanismo de feedback dos usuários para reportar spam. Emails de conteúdo único (com as tais seqüências de caracteres) têm menos chance de serem detectados por filtros como os do hotmail ?

    Curtir

  25. na verdade, verificando o relato acima; pude notar que esta ligado ao incomodo! ou seja: algo que traz dúvidas ou desagradam. este número ( 969 ) p/exemplo, esta ligado ao famoso e muitos já sabem… número do animal de forma invertida! 666. não se preocupe até ai. mas que é desagradavel é. obrigado p/oportunidade!

    Curtir

  26. opa… tambem recebi este email… tbem axhei estranho… mas o mais estranho ainda é que eu vi q muitos que receberam este esmail são utilizadores do provedor UOL e utilizam gmail… será q este pequeno problema esta instalado em alguma ligção entre a uol e o gmail… tenho speed com provedor uol… e meu email q mais utilizo é o gmail… hum…. q coisa hein

    Curtir

  27. Alberto

    Como eu disse, não é necessário caracteres únicos no e-mail. As mensagens e seus destinatários são identificados pelo Message-Id (ou até pelos próprios endereços De/Para). Eu sei que bloquear esse e-mail é difícil porque o conteúdo dele é muito pequeno para que o anti-spam desconfie.

    Viviane Smargiassi

    Usuários do mundo todo de vários provedores e serviços de e-mail estão recebendo. O e-mail é enviado por um worm, como explica a matéria, e não tem relação nenhuma com o UOL.

    Curtir

  28. Nossa, o pessoal viaja um pouco.

    Veja bem, esta técnica não tem risco nenhum e nada que você possa fazer para impedir. Imagine que você tenha ai na sua casa ou empresa uma lista com 20 endereços de e-mail e você quer saber quais são válidos. Você pode mandar uma mensagem qualquer (números aleatórios, texto, um oi, etc) para todos os endereços e depois verifica quais deram erro. Por exemplo, se você obteve 5 respostas de erro (ex:. esse usuário não existe no nosso servidor) significa que as outras 15 são, teoricamente, válidas e você poderá utiliza-las para qualquer finalidade.

    Só isso. Ninguém invadiu nada, instalou nada, roubou nada.
    Não há como bloquear porque as mensagens são aleatórias e as origens (ips, dominios) milhares. Uma dica é criar uma regra no seu client de e-mail um filtro para tudo o que vier da sua própria conta.

    Curtir

  29. Gabriel Freitas 14/06/2006 às 15:33

    Eu também acabei de receber o e-mail. Estava no Orkut quando vi um recado e acabei descobrindo esse site, na mesma hora em que vi o e-mail com os números enviado por mim. Muito obrigado!!!

    Curtir

Comentários encerrados.