O Shopping UOL, canal de vendas do provedor Universo Online, corrigiu na sexta-feira (14/01) uma vulnerabilidade que permitia a criação de golpes de phishing scam (ataques que visam o roubo de dados financeiros e pessoais das vítimas) por usuários mal-intencionados. No início de janeiro, a operadora de telefonia fixa Telefônica também precisou corrigir um problema semelhante que atinge até 92% dos sites no mundo, segundo uma pesquisa de um grupo dinamarquês.

Em testes realizados pelo IDG Now!, ao acessar um determinado endereço, era possível navegar por qualquer website (inclusive os portais da Microsoft e Google) utilizando a barra de canais do Shopping UOL no alto da tela.

Essa falha permitia que um estelionatário desenvolvesse uma página falsa de e-commerce e montasse a diagramação de acordo com o visual utilizado pelas páginas do UOL. Ao receber um e-mail falso, com o link para a página maliciosa, o internauta poderia ser enganado e fornecer dados pessoais e financeiros ao hacker, enquanto imaginava fazer uma simples compra pela web.

Segundo Denny Roger, diretor da Batori Software & Security, a brecha classificada como "Cross Site Scripting" permite redirecionar a vítima de uma página interna do Shopping UOL para um website malicioso sem que a pessoa perceba o que está acontecendo. "Mesmo com o risco de um atacante se aproveitar dessa brecha para enganar outras pessoas, é necessário alertar o usuário final de que existe a possibilidade de ser pego no golpe", justifica Denny.

Um estudo conduzido no mês de setembro de 2004 pela equipe dinamarquesa WebCohorts Application Center revelou que 92% dos websites da internet mundial possuem algum tipo de falha grave de segurança, permitindo que algum usuário malicioso roube dados financeiros dos internautas e até mesmo copie todas as informações de um banco de dados corporativo.

As recomendações são de que o internauta sempre preste atenção ao endereço (URL) de onde está navegando, para que não seja pego em um golpe de phishing. Ao perceber que está em um endereço que não condiz com a página que está visitando, é recomendável fechar imediatamente a janela para evitar roubo de dados e até mesmo infecção por programas espiões.