Portal das Finanças vulnerável a códigos maliciosos
O Portal das Finanças está vulnerável a ataques de phishing. Vários formulários do portal permitem a injeção de códigos maliciosos, como XSS e cross.site scripting, que podem ser utilizados para lançar ataques que desviam dados pessoais dos contribuintes.
Um jovem de 17 anos acedeu na noite de Natal ao Portal das Finanças e percebeu que este tinha uma falha que permite a injeção de códigos maliciosos e o consequente desvio de dados dos utilizadores.
Ainda antes do fim do ano, no dia 29 de dezembro, o jovem de Agodim, em Leiria, alertou a equipa que gere o Portal das Finanças e no dia seguinte, os gestores do site confirmaram a existência das vulnerabilidades e a intenção de as recuperar. No entanto, ontem a falha ainda não estava sanada.
Esta falha pode ser utilizada para pôr em prática diversos estratagemas de phishing, em que o mais comum será o envio de e-mails para potenciais vítimas, com links forjados que têm por objetivo obter dados pessoais dos utilizadores. “Há inúmeros ataques a contas bancárias que usam o mesmo processo, mas neste caso, o link que é enviado tem mais credibilidade”, disse o jovem.
Os ataques permitem criar links maliciosos que integram parte do endereço do Portal das Finanças, mas são geridos por cibercriminosos. Por esse motivo, os links maliciosos podem tornar-se mais credíveis aos olhos dos internautas, especialmente se replicarem o grafismo usado pelo Portal das Finanças.
De acordo com o jovem especialista que descobriu esta falha, são vários os formulários disponibilizados pelo Portal das Finanças para a inserção de dados dos internautas que têm falhas que permitem ataques de XSS. “Não é uma das falhas mais básicas, mas também não é uma das mais avançadas. Nos bancos, é raro ver este tipo de vulnerabilidades”, garantiu.
As vulnerabilidades XSS permitem injetar um código malicioso que altera uma página legítima ou direciona os internautas para endereços criados por cibercriminosos.
O jovem de Leiria diz que a vulnerabilidade não coloca em risco os servidores das Finanças e apenas ameaça os internautas que podem ser induzidos em erro por cibercriminosos.
