Os domínios “https” são considerados mais seguros por utilizarem algoritmos de criptografia. A falha, segundo o IDG Now, está em um desses algoritmos, o MD5, que pode ser ludibriado. Nesse caso o navegador informaria que o site é seguro, quando ele se trata de uma cópia. Os pesquisadores conseguiram ainda criar uma autoridade certificadora falsa, o que permitira criar ataques de phishing impossíveis de identificar. Por isso, eles defendem que o MD5 não seja mais considerado uma algoritmo seguro para certificados digitais.

Um ataque de phishing pode fazer com que o internauta seja redirecionado a um site falso ao acesso a página do seu banco, por exemplo. Com essa vulnerabilidade recém-descoberta o navegador poderia dar um certificado digital falso atestando que o site é legítimo. Ao digitar seus dados nesse site, eles iriam para criminosos e não para o banco.

Artigos relacionados:

• Hackers franceses desafiam governo e criam programa que torna toda conexão wi-fi aberta
• Especialistas corrigem falha que permitia golpe bancário online
• Apple: ações deixam vulneráveis usuários do iTunes e do iCal
• Vírus noticiando morte de Chávez circula pela internet

A falha permitia que criminosos redirecionassem os usuários para páginas falsas, mesmo quando digitavam o endereço correto no navegador.

Isso fazia com que os usuários navegassem por páginas falsas de bancos e cartões de crédito, se sujeitando ao golpe conhecido como phishing, que leva usuários a passar, sem saber, dados bancários e financeiros a terceiros.

Grandes empresas como a Microsoft estão distribuindo o software que corrige a falha.

“As pessoas devem ficar preocupadas, mas elas não precisam entrar em pânico”, disse o especialista Dan Kaminsky, um dos especialistas que descobriu a falha.

Segundo ele, esse tipo de problema é inédito.

Ele descobriu a falha há seis meses ao navegar pelo Domain Name System (DNS), um sistema que é usado para converter endereços da internet em seqüências numéricas.

Ao burlar o DNS, criminosos redirecionavam endereços para sites falsos de bancos, onde os usuários acabavam revelando dados pessoais, como senhas bancárias.

Em março, Kaminsky reuniu grandes empresas de computação – como Microsoft, Sun e Cisco – e formou uma equipe para investigar uma solução para o problema.

“Isso nunca foi feito antes e é uma grande tarefa”, disse ele.

Os especialistas não têm certeza de quantas vezes a falha dos navegadores foi usada. Os usuários devem receber a atualização automaticamente.

A Microsoft lançou a atualização na terça-feira.

Artigos relacionados:

• Falha permite criação de phishing ‘perfeito’ com certificado digital falso
• Primeiro anúncio da Microsoft com Seinfeld vai ao ar
• IE 8 em português será lançado no dia 16 de setembro
• Google anuncia novo navegador e desafia Microsoft
• Episódio em que executivo da Microsoft é atingido por ovos vira game

Segundo informações do CNet.com, os phishers – criminosos digitais que criam armadilhas para seqüestrar dados, chamadas de ‘phishing’ – criaram uma página semelhante ao iTunes para solicitar informações pessoais, como número do cartão de crédito e seguro-social, na tentativa de concluir uma falsa compra de arquivos digitais.

Em outra frente, uma empresa de segurança, a Core Security, divulgou um alerta após constatar que o iCal, aplicativo de cálculos e compromissos da Apple para plataforma Mac OS, possui brechas de segurança que podem tornar os usuários vulneráveis a ações de especialistas em criar códigos maliciosos para a invasão de computadores, informou o britânico The Register.

Artigos relacionados:

• Falha permite criação de phishing ‘perfeito’ com certificado digital falso
• Spam é lucrativo mesmo com pouca resposta, diz estudo
• Brasil terá novos iPods pelos preços antigos
• Especialistas corrigem falha que permitia golpe bancário online
• Napster lança serviço online de música com 6 milhões de arquivos

Trata-se de uma armadilha “phishing”, um trote de criadores de vírus de computador, que propaga um programa malicioso (malware) capaz de infectar o sistema do incauto que clicar no link que aparece no corpo da mensagem. Nos e-mails podem aparecer frases do tipo “CHAVEZZ MURIOO! ALL FIIN OBSERVA SU TRAGICO FIN”, acompanhadas de outras como “LO MAS ESPERADO DEL AÑOOO!” – “VEE EL VIDEO MAS ESPERADO DEL AÑO”.

O link maligno contido na mensagem leva o usuário a executar um arquivo que contém o trojan “HostChange.B”, que aponta para uma página falsa onde é feita uma tentativa de coletar dados bancários da vítima. A empresa oferece a ferramenta grátis “Infected or not” para detecção online deste e outros trojans e malwares em geral, no atalho, onde é possível acionar o procedimento ActiveScan 2.0.

Artigos relacionados:

• ‘Infected or Not’: serviço online não distribui vírus
• Vírus Conficker ‘acorda’ e começa a se espalhar por redes p2p
• Falha permite criação de phishing ‘perfeito’ com certificado digital falso
• Especialistas corrigem falha que permitia golpe bancário online
• Apple: ações deixam vulneráveis usuários do iTunes e do iCal