Phishing Scam com a marca Terra e Vivo

Hoje recebi 2 emails fraudulentos na minha conta pessoal fazendo se passar por 2 marcas brasileiras, o provedor Terra e a operadora de celular Vivo.

Terra

Vivo

No email “Terra”, a formatação já denuncia o email pois está “grotesca”, o link está mascarando a URL:

http://www.zcm.com.br/administrator/images/.goup_line/terra_cartao.php.

Já o email “Vivo” foi utilizado a formatação com imagens que “esconde” a URL:

http://www.zcm.com.br/administrator/images/.goup_line/Vivo_sms.php.

O curioso é que os 2 endereços redirecionam a mesma URL com o arquivo malicioso:

http://www.insightbrasilrh.com.br/Msg_397124682.scr.

Aparentemente o arquivo “scr” já foi removido do servidor. Mesmo assim notifiquei ao responsável para corrigir a falha de segurança que permitiu acesso ao seu servidor. Não sei qual é o script usado na página www.zcm.com.br mas também notifiquei o responsável!

Vou colocar aqui o header dos emails

Return-Path:
Received: from [unix socket]
by candelo.hst.terra.com.br (LMTP);
Fri, 19 Oct 2007 17:57:57 -0200 (BRST)
X-Terra-Karma: -2%
X-Terra-Hash: 63ba5b74aaf9214000f7b03148735757
Received-SPF: none (candelo.hst.terra.com.br: 69.73.139.148 is neither permitted nor denied by domain of server2.osrty.com) client-ip=69.73.139.148; envelope-from=nobody@server2.osrty.com; helo=server2.osrty.com;
Received: from server2.osrty.com (server2.osrty.com [69.73.139.148])
by candelo.hst.terra.com.br (Postfix)
with ESMTP id D3A533680184 for ;
Fri, 19 Oct 2007 17:57:56 -0200 (BRST)
Received: from nobody
by server2.osrty.com
with local (Exim 4.68) (envelope-from ) id 1Iixyg-0006Z6-4q for xxx@terra.com.br;
Fri, 19 Oct 2007 15:57:50 -0400
From: Vivo Creditos
To: xxx@terra.com.br
Message-Id:
Date: Fri, 19 Oct 2007 15:57:50 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – server2.osrty.com
X-AntiAbuse: Original Domain – terra.com.br
X-AntiAbuse: Originator/Caller UID/GID – [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain – server2.osrty.com
Content-Type: text/html
X-Terra-AV: McAfee VirusScan/5.1.00/5145
X-Terra-Bucket-Rate: 1.000
X-Terra-Bucket: Festa
MIME-Version: 1.0
Subject: Promocao da vivo. Ganhe creditos respondendo essa enquete Vivo On-line….
X-Terra-ISI: 1,1192823877.920509.12167.candelo.hst.terra.com.br,1903,1112216894685732,1112216894685732

Return-Path:
Received: from [unix socket]
by ladigue.hst.terra.com.br (LMTP);
Fri, 19 Oct 2007 17:57:49 -0200 (BRST)
X-Terra-Karma: -2%
X-Terra-Hash: 3c385472a5265855bf084d26e42a0e7f
Received-SPF: none (ladigue.hst.terra.com.br: 69.73.139.148 is neither permitted nor denied by domain of server2.osrty.com) client-ip=69.73.139.148; envelope-from=nobody@server2.osrty.com; helo=server2.osrty.com;
Received: from server2.osrty.com (server2.osrty.com [69.73.139.148])
by ladigue.hst.terra.com.br (Postfix)
with ESMTP id CADCAD680BC for ;
Fri, 19 Oct 2007 17:57:48 -0200 (BRST)
Received: from nobody
by server2.osrty.com
with local (Exim 4.68) (envelope-from ) id 1IixyY-0006RL-7c for xxx@terra.com.br;
Fri, 19 Oct 2007 15:57:42 -0400
Subject: Ola, voce recebeu um Cartao Terra…
From: Terra! Web Cartao….
To: xxxl@terra.com.br
Message-Id:
Date: Fri, 19 Oct 2007 15:57:42 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – server2.osrty.com
X-AntiAbuse: Original Domain – terra.com.br
X-AntiAbuse: Originator/Caller UID/GID – [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain – server2.osrty.com
Content-Type: text/html
X-Terra-AV: McAfee VirusScan/5.1.00/5145
X-Terra-Bucket-Rate: 1.000
X-Terra-Bucket: Desejados
MIME-Version: 1.0
X-Terra-ISI: 1,1192823869.697722.22342.ladigue.hst.terra.com.br,5953,Des15,Des15