blog do Zé

Se você recebeu um email do malhafina@receita.gov.br com o assunto IRPF2007 não se preocupe. Nem se anime. Não é nem malha fina, nem restituição. É só um meliante que está coletando emails de contribuintes dessa forma.

Vou aproveitar essa mensagem para lhes mostrar como é que eles coletam emails de vítimas dessa maneira. No Thunderbird(cliente de email primo do Firefox) é só acessar o menu View e clicar em “Message Source” para você ver a mensagem completa incluindo cabeçalhos. No Gmail há uma opção encima da mensagem ao lado direito da hora e data da mensagem, um menu com seta para baixo dá a opção “Mostrar Original” - ou algo assim, porque meu Gmail está em inglês por algum motivo…

Descobrindo a origem da mensagem

Para descobrir a origem de uma mensagem tem que achar o cabeçalho “Received:” com o servidor no qual você confia, normalmente é o que hospeda sua caixa postal virtual. Se for Gmail, será algo tipo mail.gmail.com ou no Hotmail terá algo com live.com e por aí vai.

Podem haver dezenas de Received: porque o email pode ser roteado por diversos lugares antes de chegar ao destino. Tem que encontrar aquele recebido pelo seu servidor que normalmente vem depois do “by”, veja abaixo “by meuservidor.retiradodaqui.com.br (Postfix) with ESMTP….”.

Vejamos, no caso da (provável) fraude do malhafina@receita.gov.br a origem é:

Received: from litio.avenidavirtual.com (unknown [64.79.214.55])
by meuservidor.retiradodaqui.com.br (Postfix) with ESMTP id ************
for <meuemailvitimado@meuservidor.retiradodaqui.com.br>; Tue, 6 Nov 2007 01:16:13 -0500 (EST)

Então a mensagem que recebí diz que partiu do servidor litio.avenidavirtual.com e diz para nós que o IP dessa máquina é 64.79.214.55. Quando verifiquei o IP da máquina litio.avenidavirtual.com percebí que o IP reverso informado no email(64.79.214.55) não bateu com o do DNS principal atribuido a esse nome de máquina. Isso já é indício ou de um servidor mal configurado ou de uma fraude.

Vejam, no shell da minha fiel maquina jimi(hendrix) rodando Linux Slackware (v 10 ainda, velhinho pois não atualizei) o que pude achar sobre esse dominio.

(Nesses exemplos meus comentários começam com ### e não fazem parte da operação.)

### Primeiro verifico o nome reverso desse IP, para saber qual o verdadeiro nome da máquina nesse IP.
[root@jimi ~]# nslookup
> set type=PTR
> 64.79.214.55
Server: 127.0.0.1
Address: 127.0.0.1#53

** server can’t find 55.214.79.64.in-addr.arpa: NXDOMAIN
### Tudo bem, não há nome reverso. Esse IP é um IP solto no mundo, não tem nome.

### Agora mudo o tipo de consulta para ANY, veremos se há algum IP registrado no nome litio.avenidavirtual.com
> set type=ANY
> litio.avenidavirtual.com
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: litio.avenidavirtual.com
Address: 209.59.199.170
### Há um endereço registrado(209.59.199.170), e é diferente daquele informado, conforme lhes adiantei acima.

### Abaixo eles nos informam que se não houver resposta do DNS principal, que os seguintes servidores também contém informações sobre esse domínio.
Authoritative answers can be found from:
avenidavirtual.com nameserver = dns1.name-services.com.
avenidavirtual.com nameserver = dns4.name-services.com.
avenidavirtual.com nameserver = dns2.name-services.com.
avenidavirtual.com nameserver = dns3.name-services.com.
avenidavirtual.com nameserver = dns5.name-services.com.

Os endereços 209.59.199.170 e 64.79.214.55 diferem, longe! Mas isso não significa que sejam 2 pessoas distintas, o dono de um IP pode muito bem ter alugado outro servidor com o IP diferente, em outra cidade. Mas não é o caso : efetuei uma consulta e percebí que os dois IP’s estão em computadores fisicamente localizados em Seattle, estado de Washington nos EUA. Mais um indício de que pertencem à mesma pessoa, mas é apenas um indício. Seattle é grande pra caramba!

De fato acontece que se você acessar o site http://64.79.214.55 e o site http://209.59.199.170, ambos tem um servidor HTTP rodando e redirecionam seu navegador para o URL http://aplicacionesyredes.com/index.swf. E se você consultar o nome aplicacionesyredes.com chegará ao mesmo IP :

[root@jimi ~]# ping aplicacionesyredes.com
PING aplicacionesyredes.com (209.59.199.170) 56(84) bytes of data.

Hmmm. Será que o dono desse domínio está tentando nos enganar e coletar o email de contribuintes brasileiros??? Ou será que alguém usou o servidor dele para servir de boi de piranha e manter-se anônimo?

Vamos ver se o servidor de nosso amigo aceita emails enviados por desconhecidos. Uso o bom e velho telnet, de 40 anos atrás, para me conectar à porta TCP 25 do litio.avenidavirtual.com e tentar forjar um email para mim mesmo. Se chegar na minha conta, saberei que ele pode ter sido vítima. Se for recusado, saberei que é alguém “de dentro” ou que se infiltrou naquele servidor por via ilegal sem o consentimento do proprietário.

Eis a transcrição de minha “conversa” no protocolo SMTP. (Não me pergunte porque tive tempo de aprender esse protocolo, é uma longa história tentando arrumar emprego na Itália gelada em Dezembro de 1997…..)

Lá vai.

[root@jimi ~]# telnet 64.79.214.55 25
Trying 64.79.214.55…
Connected to 64.79.214.55.
Escape character is ‘^]’.
HELO
220 litio.avenidavirtual.com ESMTP
250 litio.avenidavirtual.com
Mail From: <pessoafamosa@umlugarai2007xxyy.com>
### remetente falsificado. Saiba que isso é possivel em muitos servidores. É a ciber-falsidade-ideológica numa boa.
250 ok
Rctp
502 unimplemented (#5.5.1)
### ops, hehehe, digitei errado! agora sim…é RCPT de ReCiPienT caramba!
Rcpt To: <zemeloaquitestando@ABAIXO_O_SPAM2007XX.COM>
### como era pra mim mesmo, eu não fiz nada errado em enviar um endereço falso
553 sorry, that domain isn’t in my list of allowed rcpthosts (#5.7.1)
quit
221 litio.avenidavirtual.com
Connection closed by foreign host.

Vejam! “553 sorry, that domain isn’t in my list of allowed rcpthosts (#5.7.1)”

Quando tentei enviar uma mensagem para mim mesmo usando o servidor deles, ele informa que esse destinatário não é autorizado! Ou seja, quem me enviou email através desse servidor está “autorizado”!

Assim, podemos afirmar com maior certeza(porém não certeza absoluta, como tudo na Internet) que alguém que tem acesso à máquina litio.avenidavirtual.com está enviando esses emails. Percebo, também, que se trata de um robô que enviou esse email porque não existe o cabeçalho “X-Mailer” tipo:

X-Mailer: Microsoft Outlook Express 6.00.2900.3028

Outro vacilo do meliante…se preocupou em forjar tudo, mas esqueceu de incluir o nome do programa forjado.

Para quem não sabe, os nomes de máquinas que aparecem em cabeçalhos de emails não servem como prova de nada. É a informação faltando ou contraditória que nos diz muita coisa. Vejam acima como foi que não me baseei em qualquer dado fornecido por eles, eu fúi testando aquelas partes do cabeçalho que não são possíveis de forjar(como o IP registrado por minha máquina quando ele se conectou) e a informação que eles se esqueceram de incluir!

O sistema atual que usamos para enviar e receber email foi criado para comunicar alguns milhares de máquinas, numa rede acadêmica onde todo mundo confiava um no outro. Isso parte do pressuposto que ninguém vai avacalhar o sistema. Por isso que hoje, de acordo com pesquisas recentes, mais de 70% de todos os emails do mundo são SPAM.

Justamente porque as pessoas abusam o sistema que foi feito para trabalhar na base da confiança. Podemos afirmar com toda certeza que o email veio do IP 64.79.214.55, mas não posso afirmar que o nome litio.avenidavirtual.com seja realmente desse IP - tudo indica que sim, mas aí há o risco de se condenar uma pessoa inocente. Para descobrir quem é o dono desse IP só a polícia.

Enfim, voltando ao email da malha fina : esse email pode ter 2 propósitos, ou outros, mas eu enxergo dois de imediato.

1) Incriminar o dono do domínio avenidavirtual.com junto à Receita Federal. Vira caso de FBI porque o IP e o domíio estão lá fora. Chances de se interessarem no caso? Zero.

2) Coletar emails de contribuintes.

A hipótese 1 é possível, porém é muito mais provável que eles estejam simplesmente coletando dados de contribuintes e tentando ocultar sua verdadeira identidade por trás do nome falso de máquina informado no cabeçalho.

Coleta de Emails para fins de enviar SPAM

Como funciona?

Veja bem, imagine que eu te mande uma mensagem com ofensas pessoais contra toda sua família. Agora imagine que eu envie essa mesma mensagem a milhões de pessoas com ofensas genéricas para cada um. Milhares irão ignorá-la, mas se eu enviar milhões….haverão, pelo menos, centenas ou milhares de respostas, não acha? Essas respostas, quando recebidas, serão lidas por um robô que pouco se importa com sua árvore genealógica e nem teria qualquer coisa pessoal contra você!

Se você responder com um desaforo, ou qualquer outra coisa, o robô buscará num banco de dados imenso de emails candidatos a vítima o seu email contido na resposta e o marca como “positivo, recebeu o email e respondeu”.

Assim, o robô sabe que seu email existe, que você o confere e, ainda por cima, responde emails de spam. O que eles fazem com isso? Te enviarão milhares de mensagens com propagandas de remédios para impotência e assuntos semelhantes. Moral dessa parte da história: não responda mensagens de quem não conheça!

Neste caso a isca não é uma ofensa, e sim uma mensagem forjada da Receita Federal com um endereço que começa com “malhafina” - ou seja, vai preocupar muita gente que provavelmente irá responder a essa mensagem!

Vamos prosseguir com nossa autópsia de uma fraude.

No cabeçalho percebemos que o email do remetente é pertencente à Receita Federal. Então, se reponsermos à mensagem, não é a Receita que vai receber a resposta? Sim. Seria! Porém, nos cabeçalhos há mais um detalhe oculto:

Return-Path: <root@litio.avenidavirtual.com>

Return Path é equivalente ao endereço de devolução de uma carta postal. Mas esse cabeçalho tem 2 significados. O primeiro é para os servidores que transportam o seu email para o destino e quer dizer “se esta mensagem não chegar por algum motivo, devolva para este endereço.” E o outro significado é para o programa de email da vítima uma vez que a mensagem já chegou(Outlook ou Thunderbird, etc) e significa “quando a pessoa responder a esta mensagem, que seja para este endereço e não aquele no remetente”. Essa mensagem irá para o usuário “root” na máquina litio.avenidavirtual.com em vez de malhafina@receita.gov.br - mais um indício de que se trata de fraude é quando o endereço de retorno é diferente daquele informado como remetente.

Só que esse endereço tem algo de muito especial, que praticamente nos entrega quem é o autor da fraude. O “root” é o dono da máquina!!! Só o proprietário da máquina tem a senha root!! Se fosse um nome como ze_melo_o_vitima@64.79.214.55 eu desconfiaria que alguém bobeou e sua senha foi capturada. Neste caso, se roubaram a senha, roubaram a senha do dono da máquina! E o dono, que é alguém que entende de UNIX, nem percebeu? Novamente, é possível, mas fica mais e mais provável que o autor desse email seja o proprietário da máquina cujo endereço de rede IP é 64.79.214.55.

A informação acima praticamente entregou o autor da fraude. O servidor não roteia emails de fora e o endereço de retorno é do proprietário da máquina litio.avenidavirtual.com. Isso descarta qualquer possibilidade de alguém de fora ter usado esse servidor como testa de ferro pois o único a receber o retorno esse email é ele, o usuário root. Ele escreveu um programa robô e o executou como usuário root para enviar os emails e aguarda as respostas preocupadas de contribuintes querendo saber do que se trata o email vindo de malhafina@receita.gov.br.

O cabeçalho do email inclui, ainda:

X-Account-Key: account****
X-UIDL: T!(!7?”!iY#”L4nX&!G!

(Alguns caracteres foram alterados para não entregar de bandeja ao spammer que meu email existe. Bem, depois deste post acho que pouco importa né rss….)

Esses ítens identificam o robô que enviou a mensagem e o seu identificador único(X-UIDL) como vítima no sistema do meliante. Por que, se a intenção é que você responda à mensagem? Veja bem, porque se você por um acaso fizer como eu, e postar esse cabeçalho em algum forum, o robô deles o encontrará e marcará seu email como ativo do mesmo jeito!!!

Qualquer cabeçalho que comece com “X-” é opcional e pode ser incluído sem risco de afetar a entrega da mensagem. Eu poderia criar o Cabeçalho X-ZEMELO e dizer “X-ZEMELO: visite-meu-blog” sem qualquer problema.

No caso, UIDL é mais importante e significa “Unique IDentification Listing” e o X- já vimos que é um cabeçalho opcional. Pode servir para qualquer coisa, mas eu aposto na minha teoria acima, de que serve para identificar sua mensagem e ter uma confirmação de que ela foi entregue e que seu email existe.

Conclusões
Espero que este post tenha sido útil. Recebí essa mensagem há alguns minutos e decidí compartilhar com vocês um pouquinho mais da minha experiência passada na luta contra o SPAM nos meus servidores.

A tecnología do spam é tão, ou mais, avançada que os anti-virus e de sistemas de proteção. Por isso eles estão vencendo. Numa Revista Wired de vários anos atrás, lí uma entrevista com um spammer da Rússia, radicado nos EUA, que ganhava cerca de U$ 60.000,00 Dólares por semana com spam. Ele gastava U$ 10.000,00 com infraestrutura e tecnologia por mês, e lucrava cerca de U$ 230.000,00 - o valor de uma Ferrari novinha nos EUA. Todo mês. A Lei dos EUA fazía do trabalho dele algo perfeitamente legal, lícito. Acontece que a vizinhança não concordava e o sujeito andava protegido por seguranças particulares porque numa vizinhança da Flórida ele foi descoberto e quase foi linchado na rua.

Enquanto o governo dos EUA, e do Brasil, e da Europa não tornarem o SPAM ilegal, eles continuarão praticando. E não pensem que é fácil ilegalizar o SPAM, não é só culpa dos parlamentares desses países(e do nosso).

Espera aí, mas …você não vai nos dizer quem é o principal suspeito?

Só vou dizer quem é o principal suspeito por um motivo simples: porque se a sua casa estiver sendo usada para o crime, então você é cúmplice. Se ele permite que o seu servidor seja utilizado para tentar capturar emails de contribuintes se passando pela Receita Federal, no mínimo ele tem que explicar o que diabos quer fazer com esses emails. E na pior das hipóteses pode ser ele mesmo o culpado, mas seria muita burrice fazer isso através de um servidor registrado em nome de….

Rafa Couto (dominios@aplicacionesyredes.com)
655454328
Fax:
Apartado Correos 24
A Guarda, PONTEVEDRA 36780
ES

“Rafa Couto”, ou alguém de sua confiança e que tem a senha root do servidor dele, está na España utilizando-se de um servidor em Seattle capturando emails de contribuintes no Brasil? Eu ein! Eu pensei que isso só acontecesse por aqui….. Ou será que o servidor do Rafa Couto foi invadido por um hacker e está sendo utilizado para esse fim? É possível, mas aí ele tem que tomar alguma providência!!

Antes que vocês achem que sou algum tipo de araponga saibam que a informação aí é pública e pode ser obtida por qualquer pessoa usuária de um bom sistema operacional da seguinte forma :

[root@jimi ~]# whois avenidavirtual.com
[Querying whois.verisign-grs.com]
[Redirected to whois.enom.com]
[Querying whois.enom.com]
[whois.enom.com]
=-=-=-=
Visit AboutUs.org for more information about avenidavirtual.com
AboutUs: avenidavirtual.com

Registration Service Provided By: aplicacionesYredes.com
Contact: dominios@aplicacionesyredes.com
Visit: http://aplicacionesyredes.com

Domain name: avenidavirtual.com

Administrative Contact:
aplicacionesYredes.com
Rafa Couto (dominios@aplicacionesyredes.com)
655454328
Fax:
Apartado Correos 24
A Guarda, PONTEVEDRA 36780
ES

Á, e de bonus, se você ficou curioso para saber que sistema ele tá rodando para capturar emails das pessoas - tudo indica que é Linux 2.6. Como a gente sabe sem invadir a máquina dele?

Assim :

[root@jimi ~]# nmap -O 64.79.214.55

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-23 20:58 BRST
Interesting ports on 64.79.214.55:
Not shown: 1672 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp filtered pop3pw
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp filtered imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
593/tcp filtered http-rpc-epmap
993/tcp filtered imaps
995/tcp open pop3s
3306/tcp filtered mysql
4444/tcp filtered krb524
5432/tcp filtered postgres
6667/tcp filtered irc
6668/tcp filtered irc
7000/tcp filtered afs3-fileserver
8443/tcp open https-alt
12345/tcp filtered NetBus
12346/tcp filtered NetBus
Device type: general purpose

Running (JUST GUESSING) : Linux 2.6.X (88%)
Aggressive OS guesses: Linux 2.6.15.4 (88%)

No exact OS matches for host (test conditions non-ideal).
Uptime: 1.057 days (since Thu Nov 22 19:37:35 2007)
Network Distance: 15 hops