Home Informe por Banco Caixa Econ√īmica Brecha no site da caixa deixava hackers enganarem clientes do banco

Brecha no site da caixa deixava hackers enganarem clientes do banco

0
3,351
Uma vulnerabilidade no site da Caixa Econ√īmica Federal permitia que hackers alterassem a URL na barra do dom√≠nio. Dessa maneira,¬†c√≥digos maliciosos¬†poderiam ser injetados e enviados para clientes do banco. Diversos tipos de golpes poderiam ser aplicados com a a√ß√£o ‚ÄĒ entre eles, o roubo de todos os dados banc√°rios e pessoais de v√≠timas.O¬†TecMundo¬†entrou em contato com a CAIXA durante a tarde de ter√ßa-feira (11). O banco agiu rapidamente comunicando que “identificou a inconsist√™ncia” no site e que corrigiria a brecha no mesmo dia que foi informado.

Um hacker poderia modificar a URL original injetando código falso na página

A brecha foi enviada¬†ao¬†TecMundo¬†pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas n√£o havia tido sucesso. Brito enviou a brecha para o nosso canal de den√ļncia ‚ÄĒ e voc√™ pode fazer o mesmo pelo seguinte email:¬†denuncia@tecmundo.com.br¬†ou¬†felipepayao@protonmail.com

“A brecha que descobri permite que o site da Caixa receba c√≥digo via Query String e o imprima na tela sem passar antes por sanitiza√ß√£o. Aparentemente afeta somente o Chrome. O sub-dom√≠nio afetado √© o sifge, usado na emiss√£o de certid√£o de regularidade do FGTS”, explicou Brito. “Para explorar a brecha, coloquei cada par√Ęmetro em uma linha para visualizar melhor, testando com a vari√°vel VARCEP e adicionando um c√≥digo HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibi√ß√£o do conte√ļdo”.

Subdomínio afetado

O que tudo isso significa de maneira simples? Um hacker poderia modificar a URL original injetando código falso na página

Segundo o desenvolvedor,¬†um atacante poderia usar a URL modificada na CAIXA enviando via email ou WhatsApp, por exemplo. Dessa maneira, a v√≠tima acreditaria que o link enviado seria genu√≠no. O motivo? Muitos especialistas de seguran√ßa ainda recomendam a checagem do “HTTPS” (cadeado ao lado do endere√ßo) como √ļnico par√Ęmetro de um dom√≠nio seguro ‚ÄĒ e isso est√° errado, em partes. Sim: o cadeado √© um dos par√Ęmetros, mas muitos sites fraudulentos tamb√©m contam com o protocolo.

“As v√≠timas podem acabar confiando cegamente e clicando em poss√≠veis links (injetados na p√°gina), dessa maneira, baixariam algum malware para roubo de senhas e qualquer outra informa√ß√£o”, adicionou Brito.

Como se proteger

A prevenção é o caminho: não aceite links de contatos desconhecidos ou recebidos via email e WhatsApp. Sempre que você precisar mexer com seus dados bancários ou sua conta, vá até os sites oficiais por conta própria ou busque ajuda nos perfis oficiais em redes sociais (normalmente, eles contam com um check azul de veracidade).

O desenvolvedor Lincoln Brito ainda adiciona:

  • Sempre mantenha seu sistema operacional, navegador e antiv√≠rus atualizados.
  • Desconfie sempre de emails enviados por seu banco. A n√£o ser que voc√™ autorize o envio, provavelmente ele nunca mandar√° qualquer email relacionado a seguran√ßa de sua conta. Caso receba algum email entre em contato com o banco para checar sua veracidade
  • Nunca abra emails ou clique em links que voc√™ n√£o saiba a proced√™ncia
  • Verifique tamb√©m erros de grafia nos textos, esse pode ser um bom indicativo de algum esp√©cie de golpe.

Fonte: TecMundo

Diretoria Executiva da CONTEC

Veja Também

Sugest√£o

Liberar FGTS teria impacto de R$ 25 bilh√Ķes

A libera√ß√£o do¬†FGTS¬†para o trabalhador que pedir demiss√£o poder√° drenar de R$ 23 bilh√Ķes a…

Mural Contec