Brecha no site da Caixa permitia ataque de phishing

O site da Caixa Econômica apresentou uma grave falha na noite da última quinta-feira que permitia o redirecionamento para outros endereços. A brecha poderia ser utilizada por pessoas mal-intencionadas em um ataque de phising, transferindo assim, usuários para um site clonado com o objetivo de roubar informações.

O problema relatado por Jeferson Medeiros, um estudante da área de ciências da Computação percebeu que a home do site permitia a manipulação de cookies por terceiros, abrindo caminho para reconfigurações que permitem até, o redirecionamento do site.

Medeiros tentou contato com a Caixa na sexta-feira, 28 de março, através de um formulário no site do banco e a página da instituição no Facebook. Um contato por e-mail para endereços administrativos da Caixa também foi realizado. Ele conta que chegou a receber uma agradecimento pelo contato, mas não houve qualquer mensagem do banco solicitando esclarecimentos sobre a falha para que ela pudesse ser corrigida. Ele então procurou o G1 que pressionou o banco a prestar esclarecimentos sobre o caso. 

Em nota ao site G1, a instituição financeira afirmou disse que “o problema foi reportado, confirmado pela equipe técnica e corrigido prontamente.” Por enquanto, não há qualquer registro de ação de algum criminoso com a vulnerabilidade capaz de atingir milhões de pessoas. Para corrigir a falha, o banco retirou o código da página inicial que fazia o redirecionamento e também removeu as páginas que podiam ser manipuladas.

Entendendo o que é Phishing: Como acontece um ataque e o que fazer para se defender?

Phishing é um termo inglês (pronuncia-se “fishing) que significa “pescaria”, e tem como objetivo, “pescar” informações e dados pessoais por meio de mensagens falsas. Assim, hackers podem conseguir acesso a logins e senhas de qualquer site, além de obter dados bancários.

Um ataque de phishing pode acontecer de diversas formas. Entre as mais comuns, está o envio de conversas falsas por meio de mensageiros como o Skype, induzindo o usuário a clicar no link. Além disso, existe o desenvolvimento de páginas clonadas que imitam bancos e outras instituições, o usuário acessa e acaba informando seus dados ao golpista.

Para se proteger, evite: clicar em links suspeitos, verificar e-mails de instituições como bancos, redes sociais e a Receita requisitando seu acesso, além de ter um bom antivírus com proteção online, capaz de identificar a fraude.