Uma falha no sistema de emails de atendimento ao cliente da NET, uma das maiores empresas de telecomunicações do Brasil, permitia que hackers maliciosos enviassem mensagem para clientes da NET com domínio original da empresa. Dessa maneira, um golpe de phishing se tornaria praticamente perfeito.
- Felizmente, após um alerta realizado pelo pesquisador de segurança Carlos Daniel Giovanella, a NET corrigiu de maneira rápida a falha
O que é um golpe de phishing: phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
O servidor de email deles estava sob controle, podia agir como se eu fosse um representante da NET/trabalhasse para eles
De acordo com Giovanella, um hacker malicioso poderia alterar os parâmetros na API de envio de emails da NET. “A falha deixa exposto o servidor inteiro de email deles, deixando o servidor sob total acesso. Eles não bloqueavam as tentativas, podendo enviar quantos emails quisesse. Essa falha foi descoberta tentando trocar a opção de envio da fatura de ‘boleto’ por ‘e-mail'”, explica o pesquisador. “Então, eles enviavam os parâmetros para uma URL que era a API de email deles. Baseado nesses parâmetros, a API montava um email no servidor e enviava para a pessoa. Eu descobri que os parâmetros sendo enviados, (no caso, email, mensagem, etc), podiam ser alterados livremente, sem qualquer tipo de filtro, podendo alternar entre os emails deles e ainda criar mensagens como eu fosse eles”.
Emails
“Eu poderia usar, com sucesso, qualquer email @netcombo.com.br. Eles executavam um template de email que procurava em uma URL o "htmlTemplate", podendo ser editada pela URL que eu quisesse. Ou, menos sofisticadamente, eu poderia usar o mesmo template de email deles, e apenas mudar as mensagens. O finalmente, pra fechar com chave de ouro, foi testar se eles tinham algum limite, se filtravam após ser enviado muitos emails. Fiz 100 requisições e os 100 emails foram enviados. Em um resumo, todo servidor de email deles sob controle, podendo agir como se eu fosse um representante da NET/trabalhasse para eles. Sem bloqueio de requisições. E pelo que vi, qualquer bloqueio era baseado no IP, bastando mudar”, adicionou.
Exemplos de ataques
O pesquisador afirmou que realizou diversos testes para comprovar a falha. O resultado foi enviado para a NET que, algumas horas depois, corrigiu a falha
A dica de segurança é: sempre desconfie de contatos não solicitados. Recebeu o contato de alguma empresa via email e você não solicitou nada? Desconfie. Possui link? Desconfie em dobro. Recebeu via SMS? Em triplo. Para mais dicas sobre segurança, acompanhe o nosso canal dedicado.
Categorias