Algo que veio para tornar a experiência de navegação na internet mais ágil e menos maçante, o recurso de autocompletar informações dos navegadores pode ser facilmente usado em golpes de phishing, segundo alerta o hacker finlandês Viljami Kuosmanen.
O autocompletar funciona da seguinte maneira: quando topa com um formulário (numa loja virtual, por exemplo), o usuário precisa digitar apenas o seu nome que o navegador se encarrega de fornecer o restante das informações, incluindo endereço, e-mail, telefone, número do cartão de crédito etc.
A questão, conforme descoberto por Kuosmanen, é que o recurso funciona até com campos que não se pode ver. Assim, um cibercriminoso poderia criar uma página com um campo de texto visível e vários outros invisíveis; se conseguisse fazer com que o internauta digitasse seu nome no primeiro, todo o restante seria preenchido automaticamente sem que a pessoa percebesse.
Como ressalta o jornal The Guardian, o problema afeta praticamente todos os grandes navegadores do mercado. O Firefox, por enquanto, está a salvo, já que usa um sistema que preenche cada campo por vez — só que um engenheiro de segurança da Mozilla chamado Daniel Veditz informou, pelo Twitter, que a fundação está desenvolvendo um autocompletar com preenchimento múltiplo.
@bcrypt @fabricedesre currently field by field. Apparently we want to do a multi-field autofill (bug 990176) which could cause probs
— Daniel Veditz (@dveditz) January 10, 2017
Os internautas devem evitar escrever em qualquer caixa de texto que lhes aparecer pela frente, mas, dado o nível de sofisticação dos ataques virtuais de hoje, é de se esperar que um cibercriminoso obstinado consiga desenvolver páginas capazes de fazer qualquer um acreditar em sua legitimidade. Assim, a forma mais prática de se proteger de um golpe que explore tal vulnerabilidade é desabilitando o autocompletar do navegador.