Os emails têm sido enviados com o seguinte assunto: “Seu nome de domínio foi reivindicado“, com origem em @dnsportugal.org.
Figura 1: Exemplo de e-mail recebido pelas vítimas da campanha.
No e-mail, é destacado que após a aquisição do novo domínio (p.ex., .info), ele será automaticamente redirecioando para o website oficial (aquele que é da posse da vítima).
Recebemos uma solicitação para o registro do site www.___.eu O nosso sistema mostra que é o proprietário de www.___.com Isso pode ter consequências de longo alcance para si no futuro. Estamos, portanto, sob a obrigação estatutária de contactá-lo, a fim de lhe oferecer o primeiro direito de registo. Isso significa que rejeitaremos a aplicação do terceiro e do site:
www.___.eu
Após acordo, vamos ligar este site a:
www.___.com
Ao que parece, os criminosos têm feito um varrimento a endereços DNS (.PT e .COM), realizado também uma recolha de e-mails associados ao domínio (p.ex., dominio@domino.pt; geral@adominio.pt; admin@dominio.pt; webmaster@dominio.pt) e enviado o email malicioso na tentativa de aliciar a vítima a adquirir um novo domínio — na verdade, tudo isto não passa de uma farsa.
Para corroborar a malvadesa deste esquema, são também visiveis alguns erros ortográficos no corpo do email — uma caraterística comum em campanhas desta linha.
A aplicação foi feita em Lisbao.
No website fraudulento da campanha, os criminosos oferecem um tipo de serviço baseados nos seguintes produtos:
- Registo de nome de domínio;
- Registo de marcas; e
- Mardas registadas EU.
Figura 2: Produtos oferecidos na campanha maliciosa.
Na página “Sobre nós”, os autores dizem ainda que:
“A DNSI foi fundada em 2009 no coração de Londres. O sistema de Madrid (oficialmente o sistema de Madrid para o registo internacional de marcas) é o principal sistema internacional que facilita o registo de marcas em múltiplas jurisdições em todo o mundo. A base legal foi formada pelo acordo multilateral de Madrid de 1981 para o registo internacional de marcas, bem como pelo protocolo estabelecido para o Acordo de Madrid (1989).
A DNSI garante que a lei de marcas registadas permanece simples e acessível. Utilizamos um sistema automatizado online que atende aos padrões internacionais.“
Atentando a página de contactos, os autorores do website fraudulento anunciam uma morada fictícia, em Lisboa, e que é respeitante a um escritório virtual da Regus (Figura 3) — uma entidade que oferece escritórios virtuais em todo o mundo. Também não está disponível qualquer informação de contacto.
Figura 3: Morada fictícia.
Os endereços de emails têm como origem uma conta do office365 de um servidor da Microsoft geo-localizado nos EUA (como é possível observar na imagem abaixo.)
Sugere-se alguma cautela a todos os utilizadores que receberem este tipo de e-mails. Infelizmente não existem ferramentas de forma a evitar campanhas desta natureza.
De forma a conter a ameaça, as empresas podem definir regras de entrada nos mail servers de forma a descartar emails recebidos do remetente malicioso: “rodrigo@dnsportugal.org”.
Mantenha-se em alerta.
Um artigo de Pedro Tavares da Segurança Informática.