Brecha no site da CAIXA deixava hackers enganarem clientes do banco

2 min de leitura
Imagem de: Brecha no site da CAIXA deixava hackers enganarem clientes do banco

Uma vulnerabilidade no site da Caixa Econômica Federal permitia que hackers alterassem a URL na barra do domínio. Dessa maneira, códigos maliciosos poderiam ser injetados e enviados para clientes do banco. Diversos tipos de golpes poderiam ser aplicados com a ação — entre eles, o roubo de todos os dados bancários e pessoais de vítimas.

O TecMundo entrou em contato com a CAIXA durante a tarde de terça-feira (11). O banco agiu rapidamente comunicando que "identificou a inconsistência" no site e que corrigiria a brecha no mesmo dia que foi informado.

Um hacker poderia modificar a URL original injetando código falso na página

A brecha foi enviada ao TecMundo pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas não havia tido sucesso. Brito enviou a brecha para o nosso canal de denúncia — e você pode fazer o mesmo pelo seguinte email: denuncia@tecmundo.com.br ou felipepayao@protonmail.com

"A brecha que descobri permite que o site da Caixa receba código via Query String e o imprima na tela sem passar antes por sanitização. Aparentemente afeta somente o Chrome. O sub-domínio afetado é o sifge, usado na emissão de certidão de regularidade do FGTS", explicou Brito. "Para explorar a brecha, coloquei cada parâmetro em uma linha para visualizar melhor, testando com a variável VARCEP e adicionando um código HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibição do conteúdo".

caixaSubdomínio afetado

O que tudo isso significa de maneira simples? Um hacker poderia modificar a URL original injetando código falso na página

Segundo o desenvolvedor, um atacante poderia usar a URL modificada na CAIXA enviando via email ou WhatsApp, por exemplo. Dessa maneira, a vítima acreditaria que o link enviado seria genuíno. O motivo? Muitos especialistas de segurança ainda recomendam a checagem do "HTTPS" (cadeado ao lado do endereço) como único parâmetro de um domínio seguro — e isso está errado, em partes. Sim: o cadeado é um dos parâmetros, mas muitos sites fraudulentos também contam com o protocolo.

"As vítimas podem acabar confiando cegamente e clicando em possíveis links (injetados na página), dessa maneira, baixariam algum malware para roubo de senhas e qualquer outra informação", adicionou Brito.

Como se proteger

A prevenção é o caminho: não aceite links de contatos desconhecidos ou recebidos via email e WhatsApp. Sempre que você precisar mexer com seus dados bancários ou sua conta, vá até os sites oficiais por conta própria ou busque ajuda nos perfis oficiais em redes sociais (normalmente, eles contam com um check azul de veracidade).

O desenvolvedor Lincoln Brito ainda adiciona:

  • Sempre mantenha seu sistema operacional, navegador e antivírus atualizados.
  • Desconfie sempre de emails enviados por seu banco. A não ser que você autorize o envio, provavelmente ele nunca mandará qualquer email relacionado a segurança de sua conta. Caso receba algum email entre em contato com o banco para checar sua veracidade
  • Nunca abra emails ou clique em links que você não saiba a procedência
  • Verifique também erros de grafia nos textos, esse pode ser um bom indicativo de algum espécie de golpe.
Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.