O Portal das Finanças está vulnerável a ataques de phishing. Vários formulários do portal permitem a injeção de códigos maliciosos, como XSS e cross.site scripting, que podem ser utilizados para lançar ataques que desviam dados pessoais dos contribuintes.
Ainda antes do fim do ano, no dia 29 de dezembro, o jovem de Agodim, em Leiria, alertou a equipa que gere o Portal das Finanças e no dia seguinte, os gestores do site confirmaram a existência das vulnerabilidades e a intenção de as recuperar. No entanto, ontem a falha ainda não estava sanada.
Esta falha pode ser utilizada para pôr em prática diversos estratagemas de phishing, em que o mais comum será o envio de e-mails para potenciais vítimas, com links forjados que têm por objetivo obter dados pessoais dos utilizadores. “Há inúmeros ataques a contas bancárias que usam o mesmo processo, mas neste caso, o link que é enviado tem mais credibilidade”, disse o jovem.
Os ataques permitem criar links maliciosos que integram parte do endereço do Portal das Finanças, mas são geridos por cibercriminosos. Por esse motivo, os links maliciosos podem tornar-se mais credíveis aos olhos dos internautas, especialmente se replicarem o grafismo usado pelo Portal das Finanças.
De acordo com o jovem especialista que descobriu esta falha, são vários os formulários disponibilizados pelo Portal das Finanças para a inserção de dados dos internautas que têm falhas que permitem ataques de XSS. “Não é uma das falhas mais básicas, mas também não é uma das mais avançadas. Nos bancos, é raro ver este tipo de vulnerabilidades”, garantiu.
As vulnerabilidades XSS permitem injetar um código malicioso que altera uma página legítima ou direciona os internautas para endereços criados por cibercriminosos.
O jovem de Leiria diz que a vulnerabilidade não coloca em risco os servidores das Finanças e apenas ameaça os internautas que podem ser induzidos em erro por cibercriminosos.
Com o lançamento de KATA 7.0, as organizações podem agora beneficiar de capacidades melhoradas de…
Novos monitores Predator X32 X2 e X27U X1 oferecem imagens de jogo nítidas, com uma…
Adolfo Martinho sucede a Manuel Maria Correia, que liderou a empresa em Portugal desde a…
A Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a…
O Researcher e o Analyst vão começar a ser disponibilizados para clientes com licença do…
Ao longo da sua carreira, Ricardo Morais assumiu responsabilidades em gestão de clientes e desenvolvimento…
