NOVA MENSAGEM: Ahh não, MAIS SPAM!! :: OL, defenda-se! ::
por Robson Berlatto Oliveira
19/01/2007

Resumo::

Continuando do anterior, agora olhando mais de perto como se defender de um SPAMMER.

Podem reclamar aos montes por aí a respeito do MS-OL (OutLook), mas definitivamente é o mais popular e o que este que vos escreve utiliza no cotidiano. Apesar de se falar mal da MicroSoft, é inegável que o software dela é bom. Bom?! Claro que sim, a menos que você pense "out-of-box", você vai se deparar usando um programa da MicroSoft, incluindo o sistema operacional.

Mas o ponto é, quais recursos interessantes CONTRA SPAM o OutLook oferece aos seus usuários?! Como saber qual o verdadeiro email por trás do "Tati lindinha" ou "Zé Márcio"? Como bloquear imagens oriundas da Internet? Como bloquear, em partes, o arsenal que ultrapassa o SpamAssassin do seu servidor? Como se proteger de vírus que tentam entrar pela porta da frente? Está pronto pra começar?

Bloqueando imagens da Internet ::

Por que não exibir imagens de mensagens que chegam nativamente?! Bom, primeiro por que algum filtro poderá detectar seu IP a partir da abertura da mesma e, dependendo do objeto mime (o usado no corpo da mensagem), poderá identificar seu email através de uma confirmação.

Se isso não é suficiente, imagine quanto de banda seu download perde por uns segundos para cada mensagem que recebe com imagens linkadas à sites na Internet para nada! Começou a se interessar...

Aos mais incautos, entretando, fica o alerta de que um vírus pode se esconder em um JPEG, seja encriptado ali, oculto dentro da mesma, ou com a extensão mudada (um .EXE marcado como .JPG).

A ameaça de identificação (e proliferação do seu e-mail para centenas de spammers) por si só já é motivo de sobra para eliminar este item "nativo", expandindo-o a possibilidade de baixar as mesmas naqueles casos que você realmente quer as imagens. Ahh sim, claro, você não fica PROIBIDO de ver as imagens, elas estarão a apenas UM CLIQUE de serem exibidas, em vez de bloqueio, eu chamaria isso de controle.

COMO PROCEDER? (OutLook 2003)

No menu FERRAMENTAS ► OPÇÕES, na janela que se abre selecione a aba SEGURANÇA, note o enorme botão em DOWNLOAD DE IMAGENS, chamado ALTERAR CONFIGURAÇÕES DE DOWNLOAD AUTOMÁTICO.

Ao clicar no botão, se abre outra janela, pode marcar tudo, isso bloqueia as imagens de emails feitos em HTML (muito apreciado por spammers), mas não bloqueia a exibição de eventual imagens linkada a um "ImageShack®" enviada por um amigo... aperte OK, OK e pronto, nunca mais carrega imagens das mensagens da Compujob ou outro chato cheio de propagandas não solicitadas.

Realizando o procedimento...	...e resultado efetivo!

Cautela e nenhum vírus ::

Tenho uma amiga de Porto Alegre que reclama se considerando um verdadeiro imã de vírus, mas isso é um exagero, o fato é que tem-se SPAM disseminado. E quando falo SPAM, não quero falar de uma mensagem de viagra ou do novo video da Bruna Surfistinha, quero falar de envio em MASSA mesmo, por mais que pareça UMA pessoa lhe mirando o tempo todo, não o é. Esses caras se replicam aos milhares se achando inteligentes demais lhe enviando mensagens assim:

A princípio, a mesma regra da matéria de antes, você NUNCA deve clicar em um link que, apenas passando o mouse sobre ele, aponte para outra coisa... no caso da "FOTO3.JPG anexada", não havia anexos e a mesma, sendo um LINK (sublinhado e tudo), apontava para um site qualquer "co.yu" (comercial da Yugoslávia). A menos que você conheça uma Carolina Madeiros com email no "iges" e que tenha extensões na Yugoslávia, o que não é meu caso, já é motivo de sobra para tirar o crédito da mensagem sem sequer olhar!

Descobrindo quem é a cabeça por trás da máscara ::

"BASTA NÃO CLICAR, deletar e fim dele certo?"! Não... "Ué, é sim, eu deleto e acabou!"... mas ele continuará mandando as mensagens... "ahh sim, então bloqueio a Carolina Madeiros e não recebo mais mensagens dela!"... quase isso... mas a questão é que NÃO EXISTE a Carolina, é apenas uma máscara para ficar mais "amigável" e para servir de bode espiatório... quer ver?!

-

Na imagem acima da esquerda, o caminho de retorno da "Carolina" que visivelmente não quer ser incomodado ao marcar como retorno "nobody" (ninguém) e que está apontando como recipiente o meu email principal. Característico de SPAM, a ausência de uma pessoa, na certa um gurizão se achando o máximo por invadir um PC com um rootkit que baixou naquele site hacker.

Na imagem da direita, o verdadeiro responsável pelo SPAM (e o programa que enviou)... basta clicar com o direito sobre o cabeçalho da mensagem (onde todas que vieram ficam mostradas) e pedir propriedades. Descendo nas informações que vieram "ocultas" no email, descobre-se que o infeliz usou um programa chamado eSend 1.0 para o envio em MASSA do SPAM a partir da conta de email (certamente temporária) E1H7j5c-0004NZ-LC@server.globoip.com.br.

Acessando o WWW.GLOBOIP.COM.BR, descubro que o domínio é VAZIO e sequer foi configurado direito, acesso o www.registro.br, mando buscar pelo "server.globoip.com.br" (ou apenas globoip.com.br) e descubro que o domínio foi criado em 04/06/2006 e pertence a TABI Sistemas, em nome de Thiago Dias Azevedo... daí, o óbvio, ou alguém burlou e criou um email temporário no domínio que o Thiago tem e está vazio a mais de meio ano (sem sequer um INDEX, por mais estranho que pareça), ou O PRÓPRIO é o spammer semeador de vírus que todo mundo gostaria de MATAR com requintes de crueldade...

Independente disso, o que você pode fazer ao descobrir DE ONDE partiu o ataque?!

► Primeiro, por mais estúpido que possa parecer, enviar um email ao cara avisando que estão partindo SPAM a partir do domínio/email dele (isso quando não for um TERRA ou UOL ou coisa assim).
► Avisar o orgão responsável pelo domínio, se for diferente... (o provedor no caso).
► Enviar mensagem ao mail-abuse@cert.br, avisando o ocorrido para que tomem medidas cabíveis.
► Bloquear emails do domínio todo, para que NUNCA MAIS o indivíduo se use de qualquer email desde domínio (que no geral não lhe agrega NADA)... e, aí sim, fim. Inclua, ainda, o email que houver no Registro.BR.

Bloqueando no OutLook 2003 ::

Quando se sabe a RAIZ do mal, corte-a sem dó! Como proceder:

► Primeiro, na intenção de derrubar a máscara, assinale-a como SPAM. em:
AÇÕES ►LIXO ELETRÔNICO ► ADICIONAR REMENTE A LISTA DE REMENTENTES BLOQUEADOS

Esse procedimento, bloqueia as mensagens enviadas pela máscara.

► Adicione o domínio que originou o SPAM como bloqueado, em:
AÇÕES ►LIXO ELETRÔNICO ► OPÇÕES DE LIXO ELETRÔNICO, na janela que se abre, selecione a aba REMETENTES BLOQUEADOS e clique em ADICIONAR e coloque o servidor que originou o spam.

Adicione o endereço de email (pessoa@dominio.com) ou o domínio todo (dominio.com)

Assim como o email capturado no registro... isso, por si, já elimina 1 spammer da sua vida. =D

Todas as mensagens enviadas por estas pessoas serão diretamente movidas para a sua pasta do OutLook LIXO ELETRÔNICO, então bastará dar um click com o direito sobre ela e selecionar 'LIMPAR PASTA "LIXO ELETRÔNICO"' para excluir o lixo recebido.

Considerações do Bloqueio no Outlook ::

Note que esse processo cria uma lista que pode ser transferida para outro(s) OutLook(s), facilitando o serviço de caça ao SPAM (sem ter de repetir inserções)...

Há, ainda, dependendo do seu provedor de serviço de email POP, a possibilidade de fazer esse mesmo processo NO SERVIDOR, remotamente, fazendo com que se receba os spams assinalados ou então nem receber... são uma boa saída, mas devem ser GRATUITOS (essa é especialmente a minha amiga, para que ela PARE de pagar caro pela "segurança" do provedor).

Por fim, considere que um SPAM ASSASSIN na sua caixa de email é um serviço interessante e comum em domínios pagos que restringem MUITO o recebimento de spam. o Spam Assassin evita que você receba ou abra os emails avaliados como programa por meio de pontuações calculadas com base em "erros".

Spam Assassin dilacerando um spam com pontuação de 25.6 pontos (5 pontos é SPAM)

Não basta isso para lhe proteger de ameaças... embora MUITO raramente consigam ultrapassar esses dois cuidados, há quem tente enviar vírus pela porta da frente (enviando DIRETO)... nessas horas, somente UMA coisa te protege, o seu Anti-Vírus... por que algum vírus poderá se executar SOZINHO, não dependendo de uma falha sua por ataque de engenharia social, no caso. Para tanto, e explicarei em separado posteriormente, eu recomendo o uso do ESET NOD32. Ele é mais forte e seguro que o AVG Free (que eu usava antes) e me pareceu mais leve e silencioso que o Kaspersky (que experimentei como trial). Se não houver uma proteção eficiente de anti-vírus, pode acontecer isso:

Exemplo de segurança do IMON (módulo de proteção a Internet do NOD32)

Conclusão ::

Usuários tornam "a Internet" insegura ao pensar que não visitando "sites ruins" estarão protegidas ou na curiosidade infantil de clicar para ver o que é, deve-se se cuidar disso como quando se cuidaria se estivesse com um carro caro como um Porsche. Pense que clicar em um link escuso é similar a estacionar um Porsche numa área periférica deserta às escuras, quem o faria?! Colocar um film nesse Porsche para não ser identificado é não carregar imagens no seu email POP3! Blindar ele é usar uma proteção anti-vírus nativa e em tempo real.

SPAM, UCE e vírus são ameaças REAIS e devem ser tratadas como tal, o OutLook não impede que você receba SPAM, seu servidor não o impedirá 100% e nem seu anti-vírus faria distinção de tal, mas esses cuidados evitam problemas como roubo de senhas, tomada de identidade falsa, falha (des-utilização ou mesmo danos) do seu equipamento ou similares. Não é engraçado pegar vírus, não é uma coisa boba e ninguém deveria disseminar essas práticas ruins que colocam o Brasil entre os 5 mais do mundo.

Isso pode parecer fabuloso para um garoto que baixou um rootkit, mas é péssimo em se tratando de empresas. Um ataque de Deface por ter seu começo num ataque baseado em email, por que não?! Além, com cuidados assim, boa parte dos SPAMs não terão chances e se tornarão "inofensivos" como devem ser. O ponto chave é o CUIDADO! =D