Destaque País

Especialista em cibersegurança alerta para perigos no homebanking do Crédito Agrícola

Sites falsos do banco Crédito Agrícola podem estar a ser usados para roubar dados pessoais. Alguns clientes do banco receberam um e-mail a pedir para atualizar informações pessoais, no passado dia 15 de maio, sendo redirecionados para um site falso, idêntico ao do Crédito Agrícola.

Esta técnica chama-se Phishing e é uma forma de enganar clientes a revelar informações pessoais, como senhas ou número de contas bancárias. Este método é usado com o envio de e-mails falsos, ou direcionando a pessoa a websites falsos, como é o caso do que pode estar a acontecer com o Crédito Agrícola.

Num e-mail enviado pelo “banco”, CA Online, aos clientes, é pedido, de forma educada, para atualizar os dados pessoais, de forma a proteger a privacidade. No e-mail é pedido aos clientes que seja aberto um link.

O link redireciona o cliente para uma página, aparentemente, legítima, idêntica à página oficial do Crédito Agrícola. Contudo, o site é falso, tratando-se de uma réplica do site original. Nesta página são solicitados ao cliente os seus dados pessoais, tais como o número de adesão. Com estes dados pessoais, o site consegue ter acesso à conta do cliente.

A página oficial do Crédito Agrícola apresenta algumas diferenças que podem ser notadas, tanto na aparência, como no URL.

Site original da CA

Os e-mails são escritos de forma educada e pedem atualizações, validações ou confirmações de informação. O cliente é, então, redirecionado a um site falso e enganado a apresentar informações sobre a conta pessoal, que podem resultar em roubo de dados.

Embora muito utilizadores consigam distinguir sites verdadeiros de falsos, o uso de marcas conhecidas, agências ou bancos fidedignos, como é o caso, levam o cliente a acreditar que se trata de sites verdadeiros.

Erasmo Correia, especialista em cibersegurança da empresa AllSafe, diz mesmo que o site do banco Crédito Agrícola “apresenta vulnerabilidades de segurança com alguma gravidade”.

Numa avaliação solicitada pelo Semanário V, o especialista afirma que “é com alguma facilidade que se consegue clonar os seus conteúdos para um segundo site, possibilitando que os seus clientes validem com as suas informações reais, fazendo por sua vez que todas essas informações residam no segundo site (falso)”.

Apesar da vulnerabilidade identificada no site do banco sujeito a “vários tipos de ataque, nomeadamente: Phishing, man-in-the-middle, ataques XSS, entre outros, colocando mais uma vez em risco os dados dos clientes que utilizam o seu serviço”.

Erasmo Correia diz que as fragilidades “podem ser facilmente corrigidos implementando no seu código: X-XSS-Protection; Strict-Transport-Security; X-Frame-Options e X-Content-Type-Options”.

Em tempos que está em crescimento a utilização de criptomoedas, e que as carteiras eletrónicas apresentam níveis de segurança grande parte das vezes superiores aos dos bancos tradicionais, o Semanário V constatou que a grande maioria delas tem autenticação mínima de dois fatores; isto é, para além da identificação corrente de identificação e senha, existe um segundo passo, como por exemplo envio de código por mensagem escrita para o telemóvel ou e-mail para validar o início de sessão.

Aliás, Erasmo Correia diz mesmo isso na conclusão da sua análise ao banco Crédito Agrícola: “recomendamos a activação do segundo nível de autenticação imediatamente após o login do cliente (por envio de sms…), de forma a não permitir o acesso a dados primários como: movimentos, saldos, dados pessoais, lista dos beneficiários, entre outras informações. Desta forma contorna-se um grave problema actual que é o Phishing e em alguns casos o Spoofing”.

Esta é uma temática recorrente e a maioria das ameaças incida na versão Web. No passado mês de abril, os fãs de Game of Thrones foram vítimas de ataques de Phishing, no qual alguns sites utilizavam o branding oficial da série para promover um concurso. O prémio do concurso nunca existiu e o site falso ficava com os dados pessoais, como endereços de e-mail e números de telefone. Outros sites recolhiam dados do cartão de crédito, fazendo-se passar por lojas oficiais de merchandise da série.

O que é o phishing?

Phishing é o termo que designa as tentativas de obtenção de informação pessoalmente identificável através de uma suplantação de identidade por parte de criminosos em contextos informáticos. A palavra é um neologismo criado a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de uma isca para apanhar uma vítima.

É normalmente levado a cabo através da falsificação de comunicação eletrônica — spoofing — de correio ou mensagens, dirigindo o utilizador para um estado semelhante ao original e incitando-o a preencher campos onde detalhe dados como nomes de utilizador, chaves de acesso ou detalhes bancários. Estas tentativas fingem ter como origem portais sociais, instituições bancárias ou administradores de sistemas e podem conter ligações a sítios infetados por ameaças. Para além disto, pode servir para a instalação de software malicioso no sistema da vítima, podendo servir de plataforma para outro tipo de ataques, como por exemplo as ameaças persistentes avançadas.

Está inserido nas técnicas de engenharia social utilizadas com o objetivo de enganar um utilizador, e explora vulnerabilidades na segurança atual da internet. Tentativas para colmatar o problema incluem a criação de legislação, educação e sensibilização do público e da implementação de melhorias nas técnicas de segurança.

Comentários

Acerca do autor

Paulo Moreira Mesquita

Paulo Moreira Mesquita

Diretor Semanário V