Connect with us


Tecnologia

Falha no site do Bradesco permitia que hackers enganasse clientes do banco

Uma falha em uma das páginas de internet do banco Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet do Bradesco

Publicado a

em

A falha em uma das páginas do banco Bradesco permitia que hackers criassem outras páginas falsas usando o domínio oficial da empresa, além disso, dava aos hackers a possibilidade de enviar avisos falsos que poderiam induzir a downloads de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.

Este problema foi comunicado ao portal Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem do portal consultou uma empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave.

Assim que foi comunicada, o Bradesco rapidamente desativou a página defeituosa. Ainda que testes de Gomes não mostrem isso, informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Entenda como funciona esta falha

As páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal. Diversas aplicações na internet a utilizam para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço. A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS.

 

O que aconteceu no Bradesco é que ele possui um sistema de autenticação compartilhada, ou seja, todas as sessões geradas em qualquer lugar seja de ‘x.bradesco.com.br’ ou ‘y.bradesco.com.br’ são compartilhadas. Isso acontece porque o servidor web confia em qualquer coisa que vai estar antes de ‘bradesco.com.br’. Mas, se um subdomínio é afetado, a segurança dos dados estará comprometida. Disse Mateus Gomes, técnico em redes.

 

Segundo Emilio Simoni, diretor da Dfndr Lab, da PSafe, esta falha é classificada como grave.

 

“É uma falha que acontece em páginas que recebem alguma entrada do usuário e essa entrada não é corretamente validada”, diz. “Quem desenvolveu essa parte [do site], deu esse mole.” Disse Emilio Simoni.

 

Hackers podem fazer modificações nestas páginas em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como:

  • Inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha);
  • Indicar o download de um arquivo malicioso disfarçado de um programa do banco;
  • “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.

A imagem abaixo é um exemplo de como uma página falsa poderia ser inserida abaixo do domínio do Bradesco.

 

Página alterada que poderia ter sido criada para enganar o usuário

 

Tipos de ataques que hackers poderiam usar com esta falha

 

Segundo Simoni, pelo menos dois ciberataques poderiam ser executados por meio da brecha no site do Bradesco:

O primeiro caso:

Phishing, em que um golpista dispara uma comunicação falsa à vítima par imitar um serviço real, e enganar a vítima para que ela colabore com o ataque.

Exemplo: Ele mandaria para a vítima um SMS do tipo: ‘Acesse o site do Bradesco neste link para cancelar um pagamento não autorizado’. E, como o link é de um próprio site do Bradesco mas modificado por comandos [maliciosos], a vítima enviaria informações ao atacante ao colocar agência, conta e senha.

 

O segundo caso:

Clonagem de sessões no Internet Banking.  Neste caso, a forma mais grave porém mais difícil de se fazer. Neste caso eles aproveitariam de uma vítima que já está logada no banco ou induzir uma vítima a se logar no banco primeiro e depois abrir o link dele. Dessa forma ele poderia clonar a sessão.

 

 “Se o atacante consegue o passaporte da vítima, não precisa necessariamente saber as credenciais dela para se autenticar. Ou seja: se consegue capturar uma sessão que está ativa, o invasor pode entrar em determinada conta bancária sem saber nenhum tipo de credencial, como agência, conta ou senha.” – Disse Gomes

 

Como já dissemos, esta segunda modalidade só seria possível se o banco não usasse um sistema que validasse o número do IP do acesso. Ainda que o banco não fizesse isso, o criminoso não conseguiria realizar transações: apenas fazer checagens, como conferir extrato bancário e outras movimentações.

Igor Luiz é Fundador e o Content Manager do Gadz Tech. Profissional na área de criação de sites, marketing digital e trabalha na publicação de notícias do site. Email de contato: [email protected]

Anúncio
Clique para comentar

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

doze − 2 =

Tecnologia

Jogos do mês: Lista dos principais títulos que estão por vir em Janeiro

Veja as principais novidades que estão chegando nas próximas semanas para o mundo dos games

Publicado a

em

Janeiro veio para trazer alguns bons jogos para entreter aos gamers de plantão. Dentre eles destaca-se o HITMAN 3 e o THE YAKUZA REMASTERED COLLECTION, que comemora a saga de Kazuma Kiryu com as belas versões remasterizadas de Yakuza 3, 4 e 5

20 de Janeiro

Veremos novamente o agente 47 em ação,

HITMAN 3

Novo Hitman 3 será lançado no Brasil em mídias físicas e modo VR gratuito, é a conclusão da trilogia World Of Assassination, na qual você roda o mundo na pele do Agente 47. Ao lado de Diana Burnwood e de seu amigo de longa data, Lucas Gray, o Agente 47 terá que eliminar os membros da Providence.

21 de Janeiro

RIDE 4 vai despertar a tua alma competitiva com centenas de motos, dezenas de pistas e todo um novo nível de realismo.

RIDE 4

A ideia primordial por trás de Ride 4 é ser um jogo de velocidade, ou seja, correr, competir e pilotar as máquinas de alta performance que fazem das pistas sua casa confortável. Infelizmente algumas pessoas tem demonstrado que o game se mostra bem lente e travado, quase frio.

26 de Janeiro

ATELIER RYZA 2: LOST LEGENDS & THE SECRET FAIRY

ATELIER RYZA 2: LOST LEGENDS & THE SECRET FAIRY

O RPG será lançado para Switch, PC, PS4 e PS5 no próximo verão do hemisfério sul (período entre dezembro de 2020 e fevereiro de 2021). Atelier Ryza 2 continua as aventuras de Reisalin Stout, uma garota comum que se tornou alquimista após um certo evento no primeiro jogo.

CYBER SHADOW

Cyber Shadow é um próximo videogame de plataforma de ação com rolagem lateral, inspirado em vários clássicos como Contra e Ninja Gaiden. Cyber Shadow será publicado pela Yacht Club Games e promete ser um belo presente aos fãs do Nintendinho.

28 de janeiro

The Medium será lançado para Xbox Series X/S e PC em 28 de janeiro.

THE YAKUZA REMASTERED COLLECTION

Confirmada pela SEGA durante a Gamescom 2019, a coletanea chegará esse mes com os principais games da série Yakusa. O título da SEGA é centrado na máfia japonesa, mas também conta com doses de drama, exploração de cenários e muitos minigames. Hoje, mais de 10 anos após seu lançamento, a série está no sexto título principal no ocidente, com uma história que envolve ainda spin-offs e relançamentos.

THE MEDIUM

O novo game da Bloober Team convida a você a Torne-se um médium que vive em dois mundos diferentes: o real e o espiritual. Como um médium com acesso aos dois mundos, você tem uma perspectiva mais ampla e pode ver mais claramente que não há uma verdade simples para o que os outros percebem. Nada é o que parece, tudo tem outro lado. The Medium apresenta uma trilha sonora “dupla” de Arkadiusz Reikowski, da Bloober Team, e do lendário compositor Akira Yamaoka, do jogo Silent Hill.

29 de Janeiro

Gods Will Fall

Gods Will Fall

Graças à sua forte inspiração na mitologia e cultura celta, o jogo consegue construir uma forte identidade visual apesar de seus gráficos mais humildes. Ainda que a sua apresentação remeta a um jogo indie do começo da geração passada, o design dos monstros, criaturas e ambiente compensa bem isso, já que eles vibram com muitas cores e elementos que se destacam bastante.

RE:ZERO − STARTING LIFE IN ANOTHER WORLD: THE PROPHECY OF THE THRONE

A popular série light novel / anime Re: ZERO -Starting Life in Another World- agora vai receber uma versão jogo de aventura tática.

A história começa quando o jovem adulto Subaru Natsuki vai a uma loja de conveniência e, sem qualquer explicação, é transportado para um mundo fantástico, com criaturas mágicas e forte inspiração medieval. O alfabeto é diferente, as frutas têm outros nomes e dragões puxam carroças de mercadores.

Continue Lendo

Tecnologia

Scott Pilgrim vs. The World: The Game acaba de se torna o maior lançamento da Limited Run Games

Um marco para a empresa Limited Run Game, pois seus jogos costumam possuir apenas algumas cópias físicas limitadas.

Publicado a

em

O anuncio dessa vitória foi feita através do twitter, na qual a Limited Run Games revelou que Scott Pilgrim vs. The World: The Game – Complete Edition conseguiu vebder mais de 25.000 cópias em apenas 3 horas. O mais impressionante desse número justamente ter se tornado a marca com o maior lançamento. A Limited Run Games vende cópias físicas limitadas, sendo esperada uma tiragem menor para os seus produtos.

Scott Pilgrim vs. The World: The Game – Complete Edition

Baseado na série de quadrinhos de Bryan Lee O’Malley, Scott Pilgrim vs. The World: The Game foi lançado originalmente de forma exclusivamente digital para PS3 e X360, mas foi retirado das lojas de ambos os consoles ao fim de sua licença. A Ubisoft renovou a licença para o relançamento do beat’em up para Switch, PC, PS4 e XBO no dia 14 de janeiro de 2021.

A edição física é de autoria da Limited Run Games, vendida pelo site da empresa com a opção de duas edições de luxo. A pré-venda começou ontem dia 15/01 e deve continuar pelas próximas seis semanas.

Continue Lendo

Tecnologia

CES 2021: Nova cadeira Razer tem até tela transparente

A Razer pretende lançar uma nova cadeira que parece ser bem Futurista.

Publicado a

em

Um grande anuncio que ocorreu no CES 2021 também foi o projeto da Razer, referente a uma  cadeira gamer com display OLED dobrável e transparente. Intitulado Project Brooklyn, o protótipo conta com construção em fibra de carbono, iluminação RGB personalizável, superfícies para teclado e mouse e até mesmo um retorno tátil via som.

A Razer comentou que o modelo é apenas um conceito inicialmente, o que diminui as chances de que o produto chegue ao mercado ao longo do ano.

Project Brooklyn

A característica mais fora do comum do Project Brooklyn é a sua tela OLED de 60 polegadas, que pode se dobrar e ocultar no encosto da cadeira. Basta acionar um botão para liberar o display dobrável, que se expande diante do usuário. Com o intuito de ser ergonômico a tela é curva, cobrindo 180 graus para uma experiência de uso bastante imersiva.

Com relação ao teclado e mouse, eles ficam escondidos os suportes para teclado e mouse, que podem ser revelados apenas quando necessário no apoio do braço. Já o assento, tem construção em fibra de carbono que possuem um conjunto de motores que produzem sensações de tato precisas – ao estilo do DualSense, o controle do PlayStation 5.

Na parte posterior da cadeira, é possível visualizar um grande conjunto de cabos e conectores que devem ser ligados a fontes de energia, PC ou console para uso.

A Razer já é conhecida por demonstrar conceitos ousados na CES, mas muito deles acabam distantes de produtos finais para o consumidor, na qual os protótipos indicam rumos e novidades que acabam chegando a alguns produtos reais da marca.

Segundo a empresa, a intenção é continuar desenvolvendo o Project Brooklyn e até mesmo testar sua viabilidade com personalidades de eSports e influenciadores. No entanto, não existe previsão para que isso comece a acontecer.

Continue Lendo

Mais lidas +