Notícias » Saiba escapar de fraudes e trambiqueiros online » Escola nos EUA ensina como hackers pensam e agem » Russo punido por enviar spam obsceno a celulares » Projeto anti-spam repete anteriores e é criticado » Scam usa até Polícia Federal para enganar usuários » Centro de Segurança Terra vira isca em nova fraude

Veja também: Notícias » Antivírus » Aviso de traição » Banco Itaú (I) » Banco Itaú (II) » Banco do Brasil » Banco do Brasil » Big Brother Brasil 4 » Big Brother Brasil 4 » Bradesco » Caixa Econômica » Cartão Especial BOL » Centro de Segurança Terra » Criança Esperança » Discador Terra » Editora Abril » Fotos que você pediu » Kit executivo do Terra » Rádio Terra » Raspadinha virtual » Segredo de Amor » Show do Milhão » Symantec » Symantec » Unibanco » Voxcards

Últimas de Spam » Acusado de matar por comentário em site é solto » Estudo diz que 31% dos internautas clicam em spams » IBM lança ferramenta que devolve spam ao emissor » Canadá registra queda no número de spams Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Busque outras notícias no Terra:

A maioria dos ataques ocorre a partir de falhas de programação em formulários de aplicativos Web. Um usuário malicioso que descobre uma falha dessas pode forçar um sistema legítimo a enviar dados danosos ou falsos aos usuários normais do site.

De acordo com o boletim Oxygen3, da Panda Software, um dos truques mais comuns envolve o envio de uma URL criada especificamente para esse tipo de ataque e enviada para e-mails ou fóruns de usuários do site a ser imitado. Utilizando técnicas de ofuscação do link e de convencimento do usuário, o atacante pode conseguir que vítimas potenciais sigam o endereço falso.

Os dados inseridos pelo atacante podem fazer com que o site original exiba áreas ou informações oriundas de sites de terceiros, ou que envie informações pessoais dos usuários a esses sites.

Ataques tradicionais de "phishing" levam usuários a sites inteiramente falsos, o que não é o mesmo efeito conseguido pelo "XSS". Nestes, o usuário estará efetivamente utilizando o site real, que, devido às falhas e ao ataque, exibe partes ilegítimas.

Em dezembro de 2003, época de disparada das compras natalinas online, circularam por listas de segurança e de hacking brasileiras vários endereços que mostravam falhas de "XSS" em sites de bancos e de conhecidas lojas de comércio eletrônico. InfoGuerra chegou a registrar algumas das páginas com as vulnerabilidades, como as do BankBoston, Unibanco e Credicard . Nos exemplos, conteúdos seguros e claramente diferentes dos das empresas eram exibidos como se fossem do próprio site, mas um ataque real tentaria imitar o layout e estilo dos sites verdadeiros, enganando os usuários. As falhas já foram corrigidas, e não há notícia de ataques bem-sucedidos a estas páginas, mas o episódio demonstrou que o problema é mais comum e grave do que parece.

A prevenção contra esse tipo de ataque depende mais dos sites que dos usuários, mas estes também podem se proteger. A recomendação é a mesma que vale para "phishing scams": evite seguir links em mensagens de e-mail ou sites duvidosos, principalmente se levarem a páginas que peçam informações pessoais ou financeiras. Prefira digitar o endereço divulgado normalmente pela empresa fornecedora do serviço e procurar o conteúdo desejado a partir da capa do site.