Mais um e-mail fraude, dessa vez mal feito.

Percebe-se que a imagem da suposta intimação esta completamente distorcida. Isso acontece por um motivo simples, nó código foi definido
width="356" height="185" 

A imagem original tem formato menos tosco https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcQEX1YX9SuoVTN1jodij4vDkzmyCdh1mAbJkJ9ReifV_mpM3Lt77g
Este domínio aparentemente é do google, então nada se pode concluir.
Vejamos o cabeçalho completo:

From *********@yahoo.com Fri Mar 21 22:51:39 2014
X-Apparently-To: *********@yahoo.com via 98.139.244.213; Sat, 22 Mar 2014 07:06:06 +0000
Return-Path:
X-YahooFilteredBulk: 138.91.3.183
Received-SPF: softfail (transitioning domain of hotmail.com does not designate 138.91.3.183 as permitted sender)
X-YMailISG: WLx2tYkWLDtOgNSOuHrmdfNU_8Vg3tAvYVyjlve109tYJgiG hhvrVcyk2XMLtzoWw.XJwSn_S66N4l.HiKbFJUZoss4rnvGuzNCbrrzfk1fn 4XehdeEwOPOYYUj6gSsmtK1HlVhT6XP3Zx6aJv3NY.85fhRjragl_RvI9Dxi r_9_zLHcDVjjzhtdLLzrRky4.s.l2e89SZT2IpyXJmfl6zjtpvh41MPZrMVc fOMaL1fixb3XwASspyAD463PFtCG6KYTa0dxLS49sUUvVvOpH6VIRaOJ91vs gdt8G_Fbudf6lThWnJ8dwpmZv7RiMqps20jh0uXjSCERt0Hqskh1KkDt4b7z L7nDBLcYXP1p0jlq05eHg7eSIXNu.JaeX2xGRnbjO54ZdlE5QNd2X.hGFEp6 IOsUUGlN7zGd6qnbZt6f7fLYLBccNn.2aOUCjsnL8X1k0ny2gbkCihI0EeSi 0tLNEfzJHMLOoWx1sJzVFWN5JPdKLlDRgdRf4iEgbdjhGMrZ_gzqVxjgDeZK GJLskoK6_RPz5ckA5CGDT_BOIHa0hCn1pewNR7TaovWqieCrNcCS_ur5WYfF d8yRx7FWgxFrTWTAWFDneU.6I36TIzbw23WNf2C80oXc2aa9QVG44Cx_T7bB NGx9l05yq_lE5KO5XgT9PFKLVGqYzdVnMwv7pbTWthnhheRfeeE3aWvPvuNS ldXA71HH2BXuEsxzlo6MSXnIKX5lK5Wa8vrjG6bUqT6InCHrbSFmZf4K2TUK cCkka9nVTBg34o_OGx2Q7S81iTqU3Jkb4ggRFDpsbUJ9MlcTeoG1L27KvGxs 7mDhLq0fXa91eO6s_cBgzz71VSJTP_ysVLYZ3WpLm6ZHGiQftJVHtxeRFn_n jbuCOEJYjvRpCoz9sZlKmc9f_w3_Ctl5xzY8SPNhJ78vPkqZFChIYa0JHGmg 5VJWgL485yZymP08gvhADtP8XqPmhJh_Rw3r8jXo6wNYvn8hntTrn4zqXnuo tmq1tdyxJ_1zKZn0ak2fc7KFdq57Xm0GNwRI0TY58mGVpaltP_P1ACCinhmO rWM4uNc6wBY0LEXwiCLd90y0TvLWx9AKlecQVmrU4WfEZv.agg7O6R.nKWsk I8fQjzGsVhRWSVQNIl2y03qkG2NjlwGQwj29UEd6bqdB.KoUv6s4fuysVK_F Q1X1wAcTxJpJvpmYjtoBHQdqPfME0Qb2GIsLkiFTRmwXKFK4_yX6HesmdgoC ulWwb4toLsFqR.916nWI6kOYDYxa0kDigeW.rc9vVEDlj.LQ6ZEe4BCLQFYA QavXe6eIgzdOK3kbp47ZwzpjttLIL_GFaAug8w5I5eDyBr2nGTYfYI9Y9u8P ZC2aigirQuZvOMbDv5BI4PshSMRS0lOhOWsovplNh7ry
X-Originating-IP: [138.91.3.183]
Authentication-Results: mta1549.mail.bf1.yahoo.com from=yahoo.com; domainkeys=neutral (no sig); from=yahoo.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO ratieo.ratieo.l4.internal.cloudapp.net) (138.91.3.183) by mta1549.mail.bf1.yahoo.com with SMTP; Sat, 22 Mar 2014 07:06:06 +0000
Received: by ratieo.ratieo.l4.internal.cloudapp.net (Postfix, from userid 33) id BB4602A16C; Sat, 22 Mar 2014 05:51:39 +0000 (UTC)
To: *********@yahoo.com
Subject: Intimao de n. 39912047748392 (25732)
X-PHP-Originating-Script: 0:ssiml09.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: *********@yahoo.com
Reply-To: *********@yahoo.com
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: *********@yahoo.com
X-Sender: *********@yahoo.com
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 - pf=0.574081 - pg=0.574081
Message-Id: <20140322062919 .bb4602a16c="" ratieo.ratieo.l4.internal.cloudapp.net="">
Date: Sat, 22 Mar 2014 05:51:39 +0000 (UTC)
Content-Length: 1529

Percebam que o email partiu de uma conta do IG.
Não bastase isso, o link fornecido vai para

http://tranportesssilo.hospedagemdesites.ws/

Tosco, nem se quer parece com algo que possivelmente seja do MP de verdade.

Sim, mais uma vez. Esses desocupados não perdem tempo. Veja o email que eu recebi:

Além do email do fato que o banco jamais manda emaisl deste tipo notem para onde é direcionado o link:

http://clarabenedettiorsano.it/wp-content/plugins/akismet/acesso/

Isso não se parece em nada com o endereço do Banco do Brasil certo?
Não sei quem é essa Clara, mas esta evidente que não tem qualquer ligação com a fraude, é mais uma vítima.
Provavelmente o servidor que hospeda o blog da Clara tem falhas de segurança, e é usado tão somente para redirecionamento e captura de informações.

Ao entrar no site perceba que ele não tem o cadeado e não utiliza protocolo seguro HTTPS. Sem falar é claro do endereço completamente absurdo e Croata! Além disso o layout esta errado, desalinhado e faltam partes do site original:


É possível notar que em poucas horas o site já foi denunciado e o Opera avisa sobre a possível fraude.

Testei no firefox e ele não detectou (talvez apenas uma questão de horas), no chrome obviamente que o site passou batido sem qualquer aviso. Vale notar que no cabeçalho completo o endereço de retorno é falso:


O endereçador tenta se passar por bb@autoatendimento.com.br 

Mas na verdade tem origem em basic-ac1.xmailermta20.com.br (23.88.104.52) 

Que diabos e xMailermta20.com.br ? Bom pelo nome parece evidente se tratar de um site exclusivamente ao envio de emails em massa (SPAM) e possivelmente emails de fraude. Veja o que diz no registro.gr:

domínio: xmailermta20.com.br titular: Edilson Valenca criado: 16/01/2014 alterado: 16/01/2014

Ou seja, é algo recente.
Fiquem ligados, na duvida, não abra links de emails. Sempre digito o endereço completo do banco.

Mais um email fraude, dessa vez o alvo foi a Sodexo. Felizmente os idiotas que mandam essas coisas não sabem que eu nunca tinha se quer ouvido falar nessa tal Sodexo, e obviamente não tenho cartão com eles.
Então o email fraude direcionando para o site falso não teve qualquer apelo pra mim. Fiquem atentos. O email é o seguinte:

Mas no cabeçalho fica evidente que é uma fraude:

Subject: Importante: Tentativa de contato. X-PHP-Originating-Script: 1000:sdx.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 From: Sodexo Brasil <contato@sodexho.com.br> Reply-To: <contato@sodexho.com.br> Return-Path: anonymous@vps10602.ovh.net

O email então faz link com a seguinte URL http://ilnk.me/154d8?*************%40hotmail.com&******
Que por sua vez redireciona para: http://originflower.nl/img/glyph/ini.php
E este ultimo ainda redireciona mais uma vez para: http://svimpex.com/Cliente-Sodexo-Pass-confirme/?id=603399

Ai esta o site falso da Sodexo:

Não preciso dizer que isso é claramente falso né? Notem que se quer usa protocolo HTTPS, não tem cadeadinho nem nada...
O site verdadeiro é http://br.sodexo.com/ .

Algumas coisas precisam ser esclarecidas sobre o Google Chrome. Vamos começar pela publicidade. Como que um produto fornecido gratuitamente, tem dinheiro para fazer diversos anúncios? É claro, o google, tem muito dinheiro, vindo justamente do seu grande negocio de anúncios. Você paga, e o google mostra seu anuncio nos sites conveniados, ok.

(Foto do metro em Paris)
Mas se o produto é grátis, para quê anunciar? Opa! Tem algo ai... Isso quer dizer que o google esta ganhando alguma coisa com o Chrome. A mesma coisa que a microsoft ganhou quando enfiou guela abaixo o Internet Explorer junto com Windows 98.


Agora a parte que eu mais gosto de desmascarar: layout.
Primeiro o Layout engine, ou Motor de Renderização de HTML. Existem basicamente seis engines atualmente (adimitindo-se que mais ninguem use o IE 5 num Mac) que seriam:

1. Amaya Usado por: Amaya
2. Gecko Usado por: Mozzila, incluindo Firefox, Seamonkey, Camino, K-Meleon
3. KHTML Usado por: Konqueror
4. Presto Usador por: Opera; Opera Mobile, Nintendo DS & DSi Browser‎; Internet Channel
5. Trident Usado por: Internet Explorer e outras cópias do Internet Explorer como Maxthon e Windows Phone 7
6. WebKit Usador por:  Safari, Google Chrome, Maxthon 3, iCab 4, Adobe AIR, Midori, Adobe Dreamweaver CS4 and CS5, Android browser, Palm webOS browser, Symbian S60 browser, OWB, Steam, Rekonq, Arora, Flock ,

(2)
O que isso quer dizer? Isso quer dizer que a maneira de interpretar os codigos HTML e "desenha-los" na tela do Safari é precisamente a mesma do Chrome. Isso faz do chrome um tanto MENOS INOVADOR. Sem falar na facilidade de desenvolvimento.

Voltando a analogia do carro, seria como criar uma marca nova, mas utilizar o motor da Volkswagem que ja esta desenvolvido, testado e construido.
Mas não para por ai. Se você for nas opções de proxy do chrome, vai notar que ele na verdade chama um arquivo, o inetcpl.cpl.
Que diabos é isso? Esse pequeno arquivo de 1 mega e pouco fica la na pasta do Windos, dentro de System32 (ou system dependendo da versão) e ele é exatamente a chamada "Opções da internet"!


Mas essa janelinha não é a mesma que abre no internet explorer? SIM ! é!
E ela não é "do" internet explorer, ela é de "opções da internet" do windows. É evidente que o IE fosse de aproveitar disso. Mas o Chrome?
Quer dizer então que parte do software contido em outros navegadores (firefox, Opera, Konqueror) sobre configurações de proxy simples não existe no chrome!
Simples, são centenas de linhas a menos de programação na hora de criar o navegador.
E isso vem com uma desvantagem, você não pode configurar uma proxy diferente para usar no chrome e no Internet explorer, você também não pode configurar uma proxy diferente para usar no chrome e no windows!
Para quem ja usa proxy (seja em empresas, escolas ou em casa) e quer um navegador alternativo, o chrome definitivamente NÃO É A ESCOLHA.


Então essa estoria de que chrome é super leve e coisa e tal, se deve ao fato de não ter dezenas de opções disponiveis em outros navegadores e tambem por subutilizar opções do windows ao invez de programas as suas proprias.
A grande inovação do chrome é ser minimalista? Não, porque isso o safari ja é, inclusive com mesmo engine. A grande diferença do chrome (alem do V8 para carregar javascript) é o modismo.
Safari é da apple, então todos que aderem aos modismos da apple usam safari sem problemas. Mas todos que são anti-apple e anti-microsoft acabam migrando para o chrome.
Antes deste bebê aparecer (em 2008) os anti-microsoft utilizavam o firefox, e o defendiam ferozmente como sendo um navegador infimamente superior ao internet explorer.
Meus caros... QUALQUER NAVEGADOR É SUPERIOR AO INTERNET EXPLORER.... E mesmo antes do firefox aparecer (em 2002), ja existiam varias opções de navegadores superiores ao internet explorer:

• Netscape 1995
• Opera 1996
• Mozilla 1999
• iCab 1999 (só não digo que seja muito melhor que IE)

Mas enfim, o google chrome não tem nada d+ e como é que faz sucesso?
Além do modismo, a maioria dos usuários não utiliza nem 70% das funções e opções do chrome (o que dizer das que ele não tem) e nem percebe quando algo esta errado ou faltando.
Prova disso foi extensivo uso do internet explorer mesmo bom falhas de segurança e um engine maluco. Para quem só vai checar email de piada e ler noticias do bigbrother, IE ou chrome da no mesmo, só que chrome é mais rapido e mais seguro.

Update, fiz um pequeno comparativo:

O chrome com as mesmas tabs abertas usa em torno de 526 MB, porem vale lembrar que alguns sites nao carregaram igual porque nao fiz o login... Mas ficou praticamente metade do uso do Opera.
Ja o firefox:




Vejam que alem dele não condensar as tabs como chrome e opera, não ha como fechar uma tab que não seja ativa.
Por outro lado, ele usou incrivelmente 208 MB de ram, metade do que o chrome utiliza.


Agora medindo diferença no layout:


O firefox, barra de tabs e de endereço ocupa cerca de 94 pixels
Enquanto chrome ficou com 92 pixels.
Ja opera só barra deu 86, somando com a barra inferior (customizada) outros 70 pixels, totalizando 150 pixels.

Eu diria que para quem procura performance, firefox 9 é bola da vez em termos de memoria ram (fisica).
Como tenho 4 GB, não estou tao preocupado e pra mim Opera atende melhor minhas necessidades.

Recebi o seguinte email...
Logo desconfia-se de um email comercial de uma empresa que vem com remetente completamente diferente.
O corpo do email é composto apenas por imagens, sem texto algum. A imagem é um JPG de péssima qualidade.

Vamos as imagens:




Notem que ao por mouse sobre imagem, o link aponta para um endereço bem suspeito:




Logo ao entrar na pagina somos alertados sobre um certificado de segurança que contém erros:


 

Olhem atenta mente para o site, abaixo vou destacar como se identifica a fraude:






Notem o cadeado aberto:





E que diabos de site é esse? t35.com ?





 Agora olhem o site original e percebam como estes detalhes mudam, cadeado fechado com nível de segurança indicado e logo amarelo ao lado do endereço (Opera 11)





Lembre-se de jamais responder a estes emails, e de preferencia evite clicar nos links. Eu cliquei apenas para demonstração e sei o q estou fazendo.
O ideal é marcar como SPAM/Lixo eletrônico e pronto.

Diferente das lesmas do UOL, o grande ThePlanet da o bom exemplo (ao contrario da pocaria do Locaweb).
Sempre que contatado sobre algum abudo ThePlanet verificou e (como as minhas denuncias são serias) retirou do ar os sites com virus/trojans etc. Deve ser um exemplo paras empresas brasileiras de WebHosting.

Spam, Phishing, Fraud, Hacking and Other Abuse Complaints

If you have a complaint regarding potential spam, phishing, fraud, hacking or other violations of our AUP, please direct those complaints to abuse [at] theplanet.com.

Our Abuse Department is trained to respond to, investigate and take remedial measures regarding spam, phishing, fraud, hacking or other violations of our AUP — please do NOT direct these complaints to our Legal Department — doing so may delay or prevent our response to your complaint.

Por outro lado, nossos molúsculos brasileiros do UOL oferecem convenientemente um serviço chamado "DominioTemporario", o preferido dos fraudadores.


E claro eles são tão lerdos que só percebem a CAGADA depois que alguém (eu) já pisou em cima da merda saiu caminhando e sentiu o cheiro! E mesmo assim, o tempo que eles levam para remover os excrementos virtuais é longo... sera que investigam quem anda defecando nos próprios servidores? Ah duvido...
Seria interessante verificar se PELO MENOS do tal domínio dos seus "clientes" não é tipo "bradescoseguro.dominiotemporario.com.br", ANTES dele ir ao ar né....