Categories: e-Marketing

Portal das Finanças vulnerável a códigos maliciosos

O Portal das Finanças está vulnerável a ataques de phishing. Vários formulários do portal permitem a injeção de códigos maliciosos, como XSS e cross.site scripting, que podem ser utilizados para lançar ataques que desviam dados pessoais dos contribuintes.

Um jovem de 17 anos acedeu na noite de Natal ao Portal das Finanças e percebeu que este tinha uma falha que permite a injeção de códigos maliciosos e o consequente desvio de dados dos utilizadores.

Ainda antes do fim do ano, no dia 29 de dezembro, o jovem de Agodim, em Leiria, alertou a equipa que gere o Portal das Finanças e no dia seguinte, os gestores do site confirmaram a existência das vulnerabilidades e a intenção de as recuperar. No entanto, ontem a falha ainda não estava sanada.

Esta falha pode ser utilizada para pôr em prática diversos estratagemas de phishing, em que o mais comum será o envio de e-mails para potenciais vítimas, com links forjados que têm por objetivo obter dados pessoais dos utilizadores. “Há inúmeros ataques a contas bancárias que usam o mesmo processo, mas neste caso, o link que é enviado tem mais credibilidade”, disse o jovem.

Os ataques permitem criar links maliciosos que integram parte do endereço do Portal das Finanças, mas são geridos por cibercriminosos. Por esse motivo, os links maliciosos podem tornar-se mais credíveis aos olhos dos internautas, especialmente se replicarem o grafismo usado pelo Portal das Finanças.

De acordo com o jovem especialista que descobriu esta falha, são vários os formulários disponibilizados pelo Portal das Finanças para a inserção de dados dos internautas que têm falhas que permitem ataques de XSS. “Não é uma das falhas mais básicas, mas também não é uma das mais avançadas. Nos bancos, é raro ver este tipo de vulnerabilidades”, garantiu.

As vulnerabilidades XSS permitem injetar um código malicioso que altera uma página legítima ou direciona os internautas para endereços criados por cibercriminosos.

O jovem de Leiria diz que a vulnerabilidade não coloca em risco os servidores das Finanças e apenas ameaça os internautas que podem ser induzidos em erro por cibercriminosos.

Cátia Colaço

Recent Posts

Fundo Europeu de Investimento garante 5 milhões de euros à Code for All__

A garantia faz parte de uma iniciativa que visa facilitar o acesso ao financiamento a…

2 dias ago

Ericsson Imagine Live em Portugal destaca papel do 5G

O evento pretendeu dar a conhecer insights de especialistas, explorar demonstrações de vanguarda e discutir…

3 dias ago

Carris Metropolitana tem novo website mobile-first

Depois do lançamento da app, o site surge agora com novas funcionalidades e mais transparência…

4 dias ago

Bit2Me STX inicia testes Sandbox para bolsa de valores blockchain

O Bit2Me STX é uma das primeiras infraestruturas do mercado financeiro blockchain destinada a operar…

5 dias ago

150 mil euros para promover a inovação na Indústria

Bolsa Jorge de Mello é dirigida a investigadores em Portugal e visa impulsionar a investigação…

6 dias ago

UCP é reconhecida como a instituição universitária mais empreendedora em Portugal

O ranking reconhece e destaca o papel crescente das universidades na promoção do empreendedorismo em…

1 semana ago