Vulnerabilidade no site da Caixa permitia roubo de dados de clientes
Por Felipe Demartini |
Uma vulnerabilidade de segurança no site da Caixa, um dos principais bancos do Brasil, poderia levar ao roubo de dados pessoais e credenciais de acesso a contas por criminosos. A brecha permitia que os atacantes criassem páginas falsas ou aplicações maliciosas que funcionavam como se estivessem rodando a partir dos domínios oficiais da estatal, dificultando a detecção e possibilitando a realização de ataques de engenharia social.
- Clonagem de WhatsApp: 5 milhões de brasileiros foram vítimas em 2020
- Cibercriminosos criam sites falsos de pré-cadastro para vacina contra COVID-19
- Operação da Europol derruba Emotet, a botnet mais odiada da última década
A brecha foi denunciada ao Canaltech pelo técnico em redes Mateus Gomes e é do tipo XSS, sigla em inglês para cross-site scripting. “A vulnerabilidade acontece quando um parâmetro não é bem filtrado e acaba refletindo integralmente tudo o que é digitado pelo usuário, inclusive tags em HTML e códigos em JavaScript”, explica ele. O link alterado, então, poderia ser enviado às vítimas, com encurtadores de URLs, por exemplo, auxiliando a ocultar a manipulação.
O especialista demonstrou o funcionamento da falha de duas maneiras. Primeiro, foi capaz de rodar uma versão do game Pac-Man a partir da URL, como se o jogo estivesse funcionando a partir do domínio da Caixa. Depois, veio a exibição de como a brecha poderia ser utilizada para fins maliciosos, com uma página falsa do banco sobreposta à original, com textos alterados e dados que poderiam ser capturados e enviados para criminosos.
Gomes ainda aponta um segundo tipo de manipulação maliciosa, voltada a usuários do internet banking da Caixa que estivessem logados no sistema ao clicarem em um link malicioso desse tipo. “A exploração dessa falha de segurança poderia levar à captura da sessão, permitindo acesso à conta bancária da vítima sem a necessidade de senha e ignorando mecanismos de proteção e autenticação em duas etapas”, completa, explicando que tais sistemas são ativados apenas na validação de novas entradas, não sendo necessários em acessos já em andamento.
O técnico aponta, ainda, que a brecha poderia ser utilizada em ataques direcionados a funcionários ou representantes da Caixa, com os criminosos visando a obtenção de credenciais de acesso administrativo. A partir daí, a vulnerabilidade poderia permitir outros tipos de ofensiva, desde a instalação de ransomware até a exploração de outras falhas de segurança.
A reportagem entrou em contato com a Caixa para revelar a brecha, que foi resolvida na última terça-feira (26). A instituição, entretanto, não confirmou nem negou a existência da vulnerabilidade, afirmando apenas, em resposta ao Canaltech, que “as operações de seus clientes estão seguras pela atuação do módulo de segurança do internet banking”. Além disso, a empresa reafirmou “seu compromisso em garantir a segurança e a confiabilidade dos serviços prestados.”
Cuidado no clique!
O cuidado pessoal é o melhor caminho para evitar ser vítima de golpes como estes, que utilizam engenharia social e artifícios para dar aparência de legitimidade ao ataque. O ideal é sempre desconfiar de links que sejam enviados por e-mail ou mensageiros instantâneos, mesmo que eles venham de contatos conhecidos ou tentem se passar por comunicações oficiais.
Alertas ou avisos vindos de instituições financeiras dificilmente virão por e-mail e, principalmente, aplicativos como WhatsApp. Na dúvida, evite clicar e busque meios diretos de contatos com o banco, seja pelo atendimento telefônico ou por aplicativos próprios, ignorando links e jamais preenchendo informações pessoais ou credenciais de acesso por estes meios.