Um hacker poderia modificar a URL original injetando código falso na página
A brecha foi enviada ao TecMundo pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas não havia tido sucesso. Brito enviou a brecha para o nosso canal de denúncia — e você pode fazer o mesmo pelo seguinte email: [email protected] ou [email protected]
“A brecha que descobri permite que o site da Caixa receba código via Query String e o imprima na tela sem passar antes por sanitização. Aparentemente afeta somente o Chrome. O sub-domínio afetado é o sifge, usado na emissão de certidão de regularidade do FGTS”, explicou Brito. “Para explorar a brecha, coloquei cada parâmetro em uma linha para visualizar melhor, testando com a variável VARCEP e adicionando um código HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibição do conteúdo”.
Subdomínio afetado
O que tudo isso significa de maneira simples? Um hacker poderia modificar a URL original injetando código falso na página
Segundo o desenvolvedor, um atacante poderia usar a URL modificada na CAIXA enviando via email ou WhatsApp, por exemplo. Dessa maneira, a vítima acreditaria que o link enviado seria genuíno. O motivo? Muitos especialistas de segurança ainda recomendam a checagem do “HTTPS” (cadeado ao lado do endereço) como único parâmetro de um domínio seguro — e isso está errado, em partes. Sim: o cadeado é um dos parâmetros, mas muitos sites fraudulentos também contam com o protocolo.
“As vítimas podem acabar confiando cegamente e clicando em possíveis links (injetados na página), dessa maneira, baixariam algum malware para roubo de senhas e qualquer outra informação”, adicionou Brito.
Como se proteger
A prevenção é o caminho: não aceite links de contatos desconhecidos ou recebidos via email e WhatsApp. Sempre que você precisar mexer com seus dados bancários ou sua conta, vá até os sites oficiais por conta própria ou busque ajuda nos perfis oficiais em redes sociais (normalmente, eles contam com um check azul de veracidade).
O desenvolvedor Lincoln Brito ainda adiciona:
- Sempre mantenha seu sistema operacional, navegador e antivírus atualizados.
- Desconfie sempre de emails enviados por seu banco. A não ser que você autorize o envio, provavelmente ele nunca mandará qualquer email relacionado a segurança de sua conta. Caso receba algum email entre em contato com o banco para checar sua veracidade
- Nunca abra emails ou clique em links que você não saiba a procedência
- Verifique também erros de grafia nos textos, esse pode ser um bom indicativo de algum espécie de golpe.
Fonte: TecMundo