fbpx
Connect with us


Tecnologia

Falha no site do Bradesco permitia que hackers enganasse clientes do banco

Uma falha em uma das páginas de internet do banco Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet do Bradesco

Publicado

em

A falha em uma das páginas do banco Bradesco permitia que hackers criassem outras páginas falsas usando o domínio oficial da empresa, além disso, dava aos hackers a possibilidade de enviar avisos falsos que poderiam induzir a downloads de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.

Publicidade

Este problema foi comunicado ao portal Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem do portal consultou uma empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave.

Assim que foi comunicada, o Bradesco rapidamente desativou a página defeituosa. Ainda que testes de Gomes não mostrem isso, informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Entenda como funciona esta falha

As páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal. Diversas aplicações na internet a utilizam para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço. A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS.

 

O que aconteceu no Bradesco é que ele possui um sistema de autenticação compartilhada, ou seja, todas as sessões geradas em qualquer lugar seja de ‘x.bradesco.com.br’ ou ‘y.bradesco.com.br’ são compartilhadas. Isso acontece porque o servidor web confia em qualquer coisa que vai estar antes de ‘bradesco.com.br’. Mas, se um subdomínio é afetado, a segurança dos dados estará comprometida. Disse Mateus Gomes, técnico em redes.

 

Segundo Emilio Simoni, diretor da Dfndr Lab, da PSafe, esta falha é classificada como grave.

 

“É uma falha que acontece em páginas que recebem alguma entrada do usuário e essa entrada não é corretamente validada”, diz. “Quem desenvolveu essa parte [do site], deu esse mole.” Disse Emilio Simoni.

 

Hackers podem fazer modificações nestas páginas em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como:

  • Inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha);
  • Indicar o download de um arquivo malicioso disfarçado de um programa do banco;
  • “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.

A imagem abaixo é um exemplo de como uma página falsa poderia ser inserida abaixo do domínio do Bradesco.

 

Página alterada que poderia ter sido criada para enganar o usuário

 

Tipos de ataques que hackers poderiam usar com esta falha

 

Segundo Simoni, pelo menos dois ciberataques poderiam ser executados por meio da brecha no site do Bradesco:

O primeiro caso:

Phishing, em que um golpista dispara uma comunicação falsa à vítima par imitar um serviço real, e enganar a vítima para que ela colabore com o ataque.

Exemplo: Ele mandaria para a vítima um SMS do tipo: ‘Acesse o site do Bradesco neste link para cancelar um pagamento não autorizado’. E, como o link é de um próprio site do Bradesco mas modificado por comandos [maliciosos], a vítima enviaria informações ao atacante ao colocar agência, conta e senha.

 

O segundo caso:

Clonagem de sessões no Internet Banking.  Neste caso, a forma mais grave porém mais difícil de se fazer. Neste caso eles aproveitariam de uma vítima que já está logada no banco ou induzir uma vítima a se logar no banco primeiro e depois abrir o link dele. Dessa forma ele poderia clonar a sessão.

 

 “Se o atacante consegue o passaporte da vítima, não precisa necessariamente saber as credenciais dela para se autenticar. Ou seja: se consegue capturar uma sessão que está ativa, o invasor pode entrar em determinada conta bancária sem saber nenhum tipo de credencial, como agência, conta ou senha.” – Disse Gomes

 

Como já dissemos, esta segunda modalidade só seria possível se o banco não usasse um sistema que validasse o número do IP do acesso. Ainda que o banco não fizesse isso, o criminoso não conseguiria realizar transações: apenas fazer checagens, como conferir extrato bancário e outras movimentações.

Continue lendo
Publicidade
Clique para comentar

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

17 − 11 =