Vulnerabilidade no site da Caixa permitia roubo de dados de clientes

Uma vulnerabilidade de segurança no site da Caixa, um dos principais bancos do Brasil, poderia levar ao roubo de dados pessoais e credenciais de acesso a contas por criminosos. A brecha permitia que os atacantes criassem páginas falsas ou aplicações maliciosas que funcionavam como se estivessem rodando a partir dos domínios oficiais da estatal, dificultando a detecção e possibilitando a realização de ataques de engenharia social.

• Clonagem de WhatsApp: 5 milhões de brasileiros foram vítimas em 2020
• Cibercriminosos criam sites falsos de pré-cadastro para vacina contra COVID-19
• Operação da Europol derruba Emotet, a botnet mais odiada da última década

A brecha foi denunciada ao Canaltech pelo técnico em redes Mateus Gomes e é do tipo XSS, sigla em inglês para cross-site scripting. “A vulnerabilidade acontece quando um parâmetro não é bem filtrado e acaba refletindo integralmente tudo o que é digitado pelo usuário, inclusive tags em HTML e códigos em JavaScript”, explica ele. O link alterado, então, poderia ser enviado às vítimas, com encurtadores de URLs, por exemplo, auxiliando a ocultar a manipulação.

O especialista demonstrou o funcionamento da falha de duas maneiras. Primeiro, foi capaz de rodar uma versão do game Pac-Man a partir da URL, como se o jogo estivesse funcionando a partir do domínio da Caixa. Depois, veio a exibição de como a brecha poderia ser utilizada para fins maliciosos, com uma página falsa do banco sobreposta à original, com textos alterados e dados que poderiam ser capturados e enviados para criminosos.

Gomes ainda aponta um segundo tipo de manipulação maliciosa, voltada a usuários do internet banking da Caixa que estivessem logados no sistema ao clicarem em um link malicioso desse tipo. “A exploração dessa falha de segurança poderia levar à captura da sessão, permitindo acesso à conta bancária da vítima sem a necessidade de senha e ignorando mecanismos de proteção e autenticação em duas etapas”, completa, explicando que tais sistemas são ativados apenas na validação de novas entradas, não sendo necessários em acessos já em andamento.

O técnico aponta, ainda, que a brecha poderia ser utilizada em ataques direcionados a funcionários ou representantes da Caixa, com os criminosos visando a obtenção de credenciais de acesso administrativo. A partir daí, a vulnerabilidade poderia permitir outros tipos de ofensiva, desde a instalação de ransomware até a exploração de outras falhas de segurança.

A reportagem entrou em contato com a Caixa para revelar a brecha, que foi resolvida na última terça-feira (26). A instituição, entretanto, não confirmou nem negou a existência da vulnerabilidade, afirmando apenas, em resposta ao Canaltech, que “as operações de seus clientes estão seguras pela atuação do módulo de segurança do internet banking”. Além disso, a empresa reafirmou “seu compromisso em garantir a segurança e a confiabilidade dos serviços prestados.”

Cuidado no clique!

O cuidado pessoal é o melhor caminho para evitar ser vítima de golpes como estes, que utilizam engenharia social e artifícios para dar aparência de legitimidade ao ataque. O ideal é sempre desconfiar de links que sejam enviados por e-mail ou mensageiros instantâneos, mesmo que eles venham de contatos conhecidos ou tentem se passar por comunicações oficiais.

Alertas ou avisos vindos de instituições financeiras dificilmente virão por e-mail e, principalmente, aplicativos como WhatsApp. Na dúvida, evite clicar e busque meios diretos de contatos com o banco, seja pelo atendimento telefônico ou por aplicativos próprios, ignorando links e jamais preenchendo informações pessoais ou credenciais de acesso por estes meios.