Falha no Banco do Brasil permitia criar páginas falsas no site oficial

Os pesquisadores de segurança da CCESS, encontraram uma vulnerabilidade que afeta o site bb.com.br e seus usuários, uma falha conhecida como (Cross Site Scripting) ou XSS.

Essa vulnerabilidade foge um pouco do escopo da criptoeconomia brasileira, no entanto põe os clientes do banco em risco mesmo os pesquisadores tendo avisado a instituição financeira inúmeras vezes, eles levaram meses para corrigir.

O report foi feito no Open Bug Bounty em julho de 2018, porém conforme as regras de segurança da plataforma, não poderia ser exposta antes da correção. O Banco do Brasil corrigiu a falha essa semana, porém não se pronunciaram ainda sobre a correção aos clientes.

Vejam o vídeo abaixo do pesquisador simulando como seria o ataque:

Video Player

00:00
00:55

XSS Injection é uma vulnerabilidade muito comum de ser encontrada em plataformas online, mas a sua constância não a torna menos perigosa. Nesse tipo de vetor o atacante tem a liberdade para injetar código javascript no navegador da vítima, mesmo esse navegador acessando o domínio real do banco! Em termos simples, você pode instruir o navegador da vítima a fazer o que você quer, o que normalmente é feito com isso é dar instrução para saques, captura de senhas (keyloggers) ou roubo da sessão através de cookies.

No caso da foto abaixo os pesquisadores instruíam o navegador a fazer algo inofensivo, mostrar uma mensagem com o nome deles.

Imagem da falha XSS com nome do grupo

Apesar dessa vulnerabilidade encontrada afetar o subdomínio www15 do banco, ela é também era arma para atacar outros endereços dentro do BB.com.br. Isso acontece porque costumam existir comunicações dentro do mesmo domínio, cookies compartilhados, etc.

Veja abaixo as duas páginas, consegue distinguir qual a original e qual a página falsa?

Imagem enviada pelos pesquisadores ao Mundo Hacker
Imagem enviada pelos pesquisadores ao Mundo Hacker

Se você disse a primeira, você errou, a página do banco falsa é a segunda. Nesse caso até um usuário da área de segurança ficaria em dúvida, imagina um usuário comum em um tipo de ataque desse, seria devastador.

Em nota o grupo de pesquisadores do CCESS postou o seguinte:

“Pensem no seguinte ataque: você recebe uma campanha de phishing, daquelas por SMS que todo mundo está acostumado, nela você é redirecionado para o próprio site do banco, o que te dá bastante confiança para entrar na sua conta e resolver o suposto problema. Ao fazer o login, num site que é do próprio banco, você estará enviando todas as suas credenciais e senhas para o hacker, mesmo parecendo tudo certo com o local em que você está acessando.”

“Como forma de provar a eles esse risco criamos um novo payload, que simula um phishing no domínio próprio deles. Isso fez com que enfim a vulnerabilidade fosse corrigida, observe nas telas abaixo. Note que essa simulação de página de phishing que criamos possui o domínio original do banco bem como certificado SSL deles, cadeado verde, tudo aparentemente certo, esse é o grande perigo das falhas de XSS Injection. Isso é apenas um dos exemplos de ataque que podem ser tentados contra os clientes usando essa falha de segurança, é importante que o público saiba do problema para saber se proteger quando isso ocorrer.”

Ataques do tipo “Phishing” são muito comuns, principalmente voltado à páginas falsas de bancos e lojas virtuais, e o maiores aliados dos hackers são os próprios usuários, então sempre se certifique se está no site oficial da loja ou banco, evite acessar links extensos ou acessar links enviados por emails, bancos nunca enviam email para clientes solicitando atualização de contas ou algo desse tipo.

Fonte mundo dos hacker

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !