Em 2013, Manuel Sousa teve uma noite de Natal diferente: terminada a consoada, o jovem de 17 anos ligou o computador e acedeu ao Portal das Finanças. E foi aí que começou a perceber que o Portal das Finanças tem uma falha que permite a injeção de códigos maliciosos (XSS, cross-site scripting) e o consequente desvio de dados pessoais dos utilizadores.
No dia 29 de dezembro, o jovem de Agodim, Leiria, enviou um alerta para a equipa que gere o Portal das Finanças. No dia seguinte, os gestores do site responderam ao e-mail, confirmando a existência das vulnerabilidades e ainda a intenção de as sanar. No dia 2 de janeiro, a falha ainda não estava sanada.
A falha apurada por Manuel Sousa pode ser usada para pôr em prática vários estratagemas de phishing. O mais comum será o envio de e-mails para potenciais vítimas, com links forjados que têm por objetivo obter dados pessoais dos utilizadores. «Há inúmeros ataques a contas bancárias que usam o mesmo processo, mas neste caso, o link que é enviado tem mais credibilidade», explica Manuel Sousa.
De acordo com o jovem leiriense, os ataques permitem criar links maliciosos que integram parte do endereço do Portal das Finanças, mas na verdade são geridos por cibercriminosos. E essa é a razão por que os links maliciosos podem tornar-se mais credíveis aos olhos dos internautas – especialmente se replicarem o grafismo usado pelo Portal das Finanças.
Manuel Sousa garante que são vários os formulários disponibilizados pelo Portal das Finanças para a inserção de dados dos internautas que têm falhas que permitem ataques de XSS. «Não é uma das falhas mais básicas, mas também não é uma das mais avançadas. Nos bancos, é raro ver este tipo de vulnerabilidades», explica o jovem especialista, garantindo que o problema pode ser «resolvido facilmente».
As vulnerabilidades XSS distinguem-se por permitir injetar um código malicioso que altera uma página legítima ou direciona os internautas para endereços criados por cibercriminosos. É uma falha que está longe de ser rara, mas que Manuel Sousa considera que não deveria acontecer num Portal como o das Finanças, «que tem bastante uso». «Até porque quantas mais pessoas usarem o Portal, maior a probabilidade de causar danos», acrescenta.
Manuel Sousa reitera que a vulnerabilidade não põe em risco os servidores das Finanças e apenas ameaça os internautas que podem ser induzidos em erro por cibercriminosos.
Hugo Séneca
