Spam de solicitação ID Santander disparados de AWS amazon Clouds

As ações de spam não param como um sempre, e temos observados que os métodos usados são incrivelmente sendo alterados a acada dia para evitar ser coletados pelos softwares de spam de mercado ou a tentativa frustrada de robôs e humanos para golpes de internet e redes.

a seguir temos o alerta de mensagem a qual o cliente deve se preocupar em não abrir, marcar como lixo eletrônico mesmo que o spoofing marque o facebook ou contato da gmail como cabeçalho de e-mail e agora vamos mostrar como isso é feito.

Título do Spam: Informamos que seu ID Santander encontra-se parcialmente bloqueado
O atacante spam marca no titulo que o cliente tem que efetuar uma ação que o banco solicita, uma vez que já sabemos que bancos não solicitam quaisquer alteração ou update de aplicativos e isso é golpe a quem realmente queira cair sobre ele. Não clicar é uma Boa idéias.

A ferramenta tem coletado o seguinte através do spam de entrada e observe que o [email protected] é o e-mail que fará o usuário ir ao engano

Received: from ec2-54-254-228-82.ap-southeast-1.compute.amazonaws.com ([54.254.228.82]:42403 helo=ip-172-31-28-243.us-west-1.compute.internal)
by cloud.hostcuritiba.net.br with esmtp (Exim 4.91)
(envelope-from <[email protected]>)
id 1gUVRw-0028sv-0i
for [email protected]; Wed, 05 Dec 2018 09:34:40 -0200
Received: by ip-172-31-28-243.us-west-1.compute.internal (Postfix, from userid 0)
id CEE9622C7A; Wed, 5 Dec 2018 11:12:25 +0000 (UTC)
To:
Subject: Informamos que seu ID Santander encontra-se parcialmente bloqueado
X-PHP-Originating-Script: 0:envia.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Santander <[email protected]>
Message-Id: <20181205111225.CEE9622C7A@ip-172-31-28-243.us-west-1.compute.internal>
Date: Wed, 5 Dec 2018 11:12:25 +0000 (UTC)

Pelos logs do Headers temos o seguinte ip do disparo: 54.254.228.82 a qual pertence a aws cloud:

RECORDS
54.254.228.82 – whois  – Amazon Data Services Japan (AMAZO-49)
route  – 54.254.128.0/17
bgp  -AS16509 – asname  – Amazon Amazon.com
descr – Amazon SIN prefix – location
Singapore, Singapore

Este link forense mostra o original ip do atacante: https://www.robtex.com/ip-lookup/54.254.228.82
Temos assim a evidência do contato formulário que é enviado ao e-mail solicitando o clique para um possível update, porém esta técnica de phishing é muito conhecida e cabe a cada usuário entender que nenhum banco solicita qualquer alteração. Golpes de Phishing de bancos é cada dia mais sofisticados e centenas de usuários ainda caem neste golpe.

Muito mais importante que qualquer ação com o mouse é orientar-se com os cuidados do dia a dia, ligar para o Banco para saber a real situação que se passa, porém mesmo sem qualquer conhecimento técnico e apenas observações essenciais já é possível saber que o usuário é spam, Phishing e tentativa de golpes. veja que o e-mail tem @hotmail acima bremerfreios@ a qual não pode ser de qualquer banco. Nosso aconselhamento é nunca clicar em nada, mover para spam, lixo e bloquear o e-mail assim que receber.

Ainda tem alguma Dúvida?
Fale com um de nossos especialistas online por telefone, chat ou ticket