Por IDG Now!

Grandes instituições financeiras têm adotado iniciativas cada vez mais agressivas contra o roubo de identidade, conhecido como "phising scams", nos últimos meses. Entretanto, essas mesmas companhias, entre elas a MasterCard International, podem estar involuntariamente colaborando com os golpes dos scammers, revelou um estudo recente de uma organização britânica.<BR><BR>Um teste com os serviços financeiros da MasterCard, NatWest e Reuters Group revelou que várias páginas têm mecanismos fracos de proteção, que permitem aos scammers mascarar seus códigos maliciosos com as características originais, seqüestrando o endereço eletrônico das instituições. As informações são de Sam Greenhalgh, de 19 anos, que opera o site Zapthedingbat.com.<BR><BR>Greenhalgh é responsável por descobrir a vulnerabilidade no Internet Explorer, da Microsoft, conhecida como "%01". Aquela falha, já corrigida pela Microsoft, foi amplamente utilizada pelos scammers a fim de mascarar a localização dos sites phishing, maior arma utilizada nos golpes.<BR><BR>Segundo o especialista, entretanto, os lapsos de segurança nos grandes sites financeiros não são causados por falhas nos produtos da Microsoft. Os golpes acontecem em virtude de uma exploração cautelosa nos navegadores, assim como mecanismos pouco seguros que contêm vulnerabilidades de inscrições "cross-site".<BR><BR>Greenhalgh utiliza como exemplo um mecanismo "ATM Locator", presente nos site da MasterCard. O ATM Locator foi criado para ajudar usuários da operadora de cartão de crédito a localizar máquinas que aceitam o cartão.<BR><BR>Os usuários inserem as informações, entre elas com os dados, ruas e o website fornece a localização das máquinas mais próximas na área. Porém, em virtude de uma vulnerabilidade cross-site, Greenhalgh pode injetar seu próprio código HTML nos campos usados pelo ATL Locator. Assim, a página exibiu suas próprias informações, o que poderia induzir um scammer a colocar uma página de captura de informações ainda mais sensíveis.<BR><BR>"Ataques phishing estão por aí há um bom tempo, e geralmente são bem fáceis de serem detectados - você pode observar a barra de endereços e verá que não é um domínio mastercard.com. No entanto, essas falhas nos navegadores podem legitimar o site. Para um usuário, isso é muito difícil de detectar", afirmou.<BR><BR>A MasterCard se recusou a comentar os dados, e a NatWest não foi encontrada para comentar a questão.