Connect with us


Tecnologia

Falha no site do Bradesco permitia que hackers enganasse clientes do banco

Uma falha em uma das páginas de internet do banco Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet do Bradesco

Publicado a

em

A falha em uma das páginas do banco Bradesco permitia que hackers criassem outras páginas falsas usando o domínio oficial da empresa, além disso, dava aos hackers a possibilidade de enviar avisos falsos que poderiam induzir a downloads de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.

Este problema foi comunicado ao portal Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem do portal consultou uma empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave.

Assim que foi comunicada, o Bradesco rapidamente desativou a página defeituosa. Ainda que testes de Gomes não mostrem isso, informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Entenda como funciona esta falha

As páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal. Diversas aplicações na internet a utilizam para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço. A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS.

 

O que aconteceu no Bradesco é que ele possui um sistema de autenticação compartilhada, ou seja, todas as sessões geradas em qualquer lugar seja de ‘x.bradesco.com.br’ ou ‘y.bradesco.com.br’ são compartilhadas. Isso acontece porque o servidor web confia em qualquer coisa que vai estar antes de ‘bradesco.com.br’. Mas, se um subdomínio é afetado, a segurança dos dados estará comprometida. Disse Mateus Gomes, técnico em redes.

 

Segundo Emilio Simoni, diretor da Dfndr Lab, da PSafe, esta falha é classificada como grave.

 

“É uma falha que acontece em páginas que recebem alguma entrada do usuário e essa entrada não é corretamente validada”, diz. “Quem desenvolveu essa parte [do site], deu esse mole.” Disse Emilio Simoni.

 

Hackers podem fazer modificações nestas páginas em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como:

  • Inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha);
  • Indicar o download de um arquivo malicioso disfarçado de um programa do banco;
  • “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.

A imagem abaixo é um exemplo de como uma página falsa poderia ser inserida abaixo do domínio do Bradesco.

 

Página alterada que poderia ter sido criada para enganar o usuário

 

Tipos de ataques que hackers poderiam usar com esta falha

 

Segundo Simoni, pelo menos dois ciberataques poderiam ser executados por meio da brecha no site do Bradesco:

O primeiro caso:

Phishing, em que um golpista dispara uma comunicação falsa à vítima par imitar um serviço real, e enganar a vítima para que ela colabore com o ataque.

Exemplo: Ele mandaria para a vítima um SMS do tipo: ‘Acesse o site do Bradesco neste link para cancelar um pagamento não autorizado’. E, como o link é de um próprio site do Bradesco mas modificado por comandos [maliciosos], a vítima enviaria informações ao atacante ao colocar agência, conta e senha.

 

O segundo caso:

Clonagem de sessões no Internet Banking.  Neste caso, a forma mais grave porém mais difícil de se fazer. Neste caso eles aproveitariam de uma vítima que já está logada no banco ou induzir uma vítima a se logar no banco primeiro e depois abrir o link dele. Dessa forma ele poderia clonar a sessão.

 

 “Se o atacante consegue o passaporte da vítima, não precisa necessariamente saber as credenciais dela para se autenticar. Ou seja: se consegue capturar uma sessão que está ativa, o invasor pode entrar em determinada conta bancária sem saber nenhum tipo de credencial, como agência, conta ou senha.” – Disse Gomes

 

Como já dissemos, esta segunda modalidade só seria possível se o banco não usasse um sistema que validasse o número do IP do acesso. Ainda que o banco não fizesse isso, o criminoso não conseguiria realizar transações: apenas fazer checagens, como conferir extrato bancário e outras movimentações.

Igor Luiz é Fundador e o Content Manager do Gadz Tech. Profissional na área de criação de web sites na internet, marketing digital, também trabalha na publicação de notícias do site.

Apps

IOS 14: Versão beta é disponibilizada

Apple lança nesta sexta-feira (10 de julho) o primeiro beta do iOS 14,nova versão do sistema operacional para iPhones, que pode ser usada pelo publico,

Publicado a

em

Muitas novidades são apresentadas na nova versão do IOS 14 para os dispositivos da Apple, que agora podem ser testadas no primeiro beta que foi lançado para os usuários que possuem um Iphone. Algumas delas são recursos semelhantes aos que o  Android já possuia, como widgets, biblioteca de aplicativos e até mesmo o modo Picture-in-Picture.

Para fazer parte das pessoas que receberão essa atualização, é necessário se inscrever no Apple Beta Software Program, disponível no site oficial da marca. Vale lembrar que, como se trata de uma versão de testes, deve haver problemas de instabilidades e desempenho, portanto a instalação não é recomenda para usuários comuns.

Novidades iOS 14

 

IOS 14 – Versão Beta é lançada para os usuários experienciarem

O novo iOS 14 vai apresentar uma série de recursos, esses que são familiares para quem já usou um dispositivo com o sistema Android. Dentre eles o App Library, trabalhará com uma gaveta de aplicativos para organizar melhor a tela do seu iPhone. Outro recurso que comentamos é o modo Picture-in-Picture (PIP), que permite mesmo realizando outras tarefas, assistir a um vídeo no YouTube, ou apps similares, em uma janela separada.

Publicidade

Também foi garantido que existiria outras betas além do iOS 14,  como iPadOS 14 e do tvOS 14. Até o momento ainda não foi revelado sobre as versões de testes de macOS 11 Big Sur e watchOS 7.

 

Aparelhos que receberão o Update

Lista dos aparelhos que receberão o update

Como de costume, as atualizações do iOS vão priorizar os aparelhos recentes, mas existem alguns aparelhos mais antigos que podem ser contemplados.  Veja abaixo a lista, dos 16 aparelhos previstos para receber o iOS 14:

  1. iPhone 11
  2. iPhone 11 Pro
  3. iPhone 11 Pro Max
  4. iPhone XS
  5. iPhone XS Max
  6. iPhone XR
  7. iPhone X
  8. iPhone 8
  9. iPhone 8 Plus
  10. iPhone 7
  11. iPhone 7 Plus
  12. iPhone 6s
  13. iPhone 6S Plus
  14.  iPhone SE (1ª geração)
  15. iPhone SE (2ª geração)
  16. iPod Touch (7ª geração)

 

 

 

Continue Lendo

Games

Promoção: NVIDIA anuncia Placas com Death Stranding de Brinde

Em parceria com o jogo Death Stranding, a NVIDIA anunicou ontem, dia 09, uma nova promoção na compra das placas de vídeo da série RTX. Para celebrar a chegada do game no dia 14 de julho, próxima terça-feira, todos que comprarem uma placa de vídeo dessa família levam, de brinde, uma cópia do jogo.

Publicado a

em

Em parceria com o jogo Death Stranding, a NVIDIA anunciou ontem, dia 09, uma nova promoção na compra das placas de vídeo da série RTX. Para celebrar a chegada do game no dia 14 de julho, próxima terça-feira, todos que comprarem uma placa de vídeo dessa família levam, de brinde, uma cópia do jogo.

A promoção também é válida na compra de computadores ou notebooks com essas placas GeForce RTX, com códigos resgatáveis através do GeForce Experience.

Começando de hoje até o dia 29 de julho, os códigos expiram e precisam ser resgatados até o dia 31 de agosto de 2020.

Os produtos participantes da promoção são as placas GeForce RTX 2080 Ti, RTX 2080 SUPER, RTX 2080, RTX 2070 SUPER, RTX 2070, RTX 2060 SUPER e RTX 2060.

Também participam os computadores com GeForce RTX 2080 Ti, RTX 2080 SUPER, RTX 2080, RTX 2070 SUPER, RTX 2070, RTX 2060 SUPER e RTX 2060, e os Notebook com GeForce RTX 2080 SUPER, RTX 2080, RTX 2070 SUPER, RTX 2070 e RTX 2060. Para quem já estava pensando em fazer um upgrade no vídeo de seu PC, é uma ótima chance para curtir um novo jogo por tabela.

Confira mais sobre a promoção no site oficial da promoção.

Continue Lendo

Aparelhos Celulares

Qualcomm: Snapdragon Chip 865 Plus 5G foi anunciado

Novo processador para celulares gamers , recebe um chip mobile que pode passar dos 3 GHz

Publicado a

em

Existia alguns rumores sobre a existência de um novo processador da Qualcomm, mas nesta quarta-feira o Snapdragon 865 Plus foi anunciado oficialmente. O primeiro Smartphone que irá recebe-lo é o Asus ROG Phone 3 que promete ser anunciado no dia 22 de julho durante o evento “ROG Game Changer”

Esse novo hardware conta com o núcleo Kryo 585 Prime de 3,1 GHz, com suporte a redes 5G além de prometer um processamento  mais rápido que o Qualcomm Snapdragon 865.

Características apresentadas

Asus ROG Phone 3 – dispositivo que vai receber o processador Snapdragon 865 Plus

O Snapdragon 865 Plus pretende ser uma versão com overclock do tradicional 865. Algumas de suas especificações continuam iguais como o modem Snapdragon X55 5G, oito núcleos de processamento, GPU Adreno 650, processo em 7 nm,  essa que houveram modificações que renderizarão os gráficos de maneira mais rápida.

Outro detalhe que ocorreu mudanças foi a frequência da CPU que difere na nova versão, chamada Kryo 585 Prime, que passa dos 2,84 GHz para 3,1 GHz, um aumento que pode ser interessante. A GPU Adreno 650 também foi modificada e promete renderização de gráficos 10% mais veloz.

Publicidade

Segundo a empresa que desenvolveu, a plataforma também é equipada com a quinta geração do seu sistema de inteligência artificial, o que pode gerar melhorias na eficiência em gerenciamento de energia, na forma como são processadas as fotos que são tiradas e no desempenho multimídia. Assim como o Snapdragon 865, o chip Plus tem selo Snapdragon Elite Gaming, uma certificação que garante otimização para jogos.

Outra novidade do Snapdragon 865 Plus é a plataforma FastConnect 6900, que promete atingir velocidades de conexão Wi-Fi em 3,6 Gbps, que oferece downloads de até 7,5 Gbps e uploads de até 3 Gbps, suportando tecnologias como a mmWave, sub-6 e Dynamic Spectrum Sharing (DSS).

Lançamento do novo Snapdragon

Segundo a Qualcomm, os primeiros celulares com esse novo processador, tem previsão de chegada a do terceiro trimestre de 2020. O Asus ROG Phone 3  será o primeiro do mundo que virá equipado com a nova tecnologia.

 

Continue Lendo

Mais lidas +