O site da Caixa Econômica apresentou uma grave falha na noite da última quinta-feira que permitia o redirecionamento para outros endereços. A brecha poderia ser utilizada por pessoas mal-intencionadas em um ataque de phising, transferindo assim, usuários para um site clonado com o objetivo de roubar informações.
O problema relatado por Jeferson Medeiros, um estudante da área de ciências da Computação percebeu que a home do site permitia a manipulação de cookies por terceiros, abrindo caminho para reconfigurações que permitem até, o redirecionamento do site.
Medeiros tentou contato com a Caixa na sexta-feira, 28 de março, através de um formulário no site do banco e a página da instituição no Facebook. Um contato por e-mail para endereços administrativos da Caixa também foi realizado. Ele conta que chegou a receber uma agradecimento pelo contato, mas não houve qualquer mensagem do banco solicitando esclarecimentos sobre a falha para que ela pudesse ser corrigida. Ele então procurou o G1 que pressionou o banco a prestar esclarecimentos sobre o caso.
Em nota ao site G1, a instituição financeira afirmou disse que “o problema foi reportado, confirmado pela equipe técnica e corrigido prontamente.” Por enquanto, não há qualquer registro de ação de algum criminoso com a vulnerabilidade capaz de atingir milhões de pessoas. Para corrigir a falha, o banco retirou o código da página inicial que fazia o redirecionamento e também removeu as páginas que podiam ser manipuladas.
Phishing é um termo inglês (pronuncia-se “fishing) que significa “pescaria”, e tem como objetivo, “pescar” informações e dados pessoais por meio de mensagens falsas. Assim, hackers podem conseguir acesso a logins e senhas de qualquer site, além de obter dados bancários.
Um ataque de phishing pode acontecer de diversas formas. Entre as mais comuns, está o envio de conversas falsas por meio de mensageiros como o Skype, induzindo o usuário a clicar no link. Além disso, existe o desenvolvimento de páginas clonadas que imitam bancos e outras instituições, o usuário acessa e acaba informando seus dados ao golpista.
Para se proteger, evite: clicar em links suspeitos, verificar e-mails de instituições como bancos, redes sociais e a Receita requisitando seu acesso, além de ter um bom antivírus com proteção online, capaz de identificar a fraude.
Você comenta sobre uma viagem, um tênis ou um restaurante e, pouco depois, aparece um…
Você já adiou uma atualização do Android porque achou que nada mudaria no celular? A…
Você usaria um @ no WhatsApp em vez de compartilhar seu número de telefone? O…
Você já ouviu que trocar de senha toda semana é uma forma de deixar suas…
Você instala um aplicativo novo, abre pela primeira vez e a tela aparece: “Permitir acesso…
Você desbloqueia o celular para responder uma mensagem rápida e, sem perceber, passa por vários…