Aquele cadeado verde ao lado do endereço do site não significa que ele é legítimo

Foto em macro de uma barra de endereço com HTTPS e o cadeado verde.

Você já deve ter lido e ouvido — várias vezes — aquela famigerada dica de sempre procurar pelo cadeado verde ao lado do endereço do site antes de comprar algo ou fornecer dados online, pois ele sinalizaria que o site é legítimo e seguro. Acontece que, hoje, essa dica é quase inútil.

Uma pesquisa da PhishLabs, empresa norte-americana especializada em prevenção de ataques virtuais, constatou que 49% de todos os sites de “phishing” detectados no terceiro trimestre de 2018 exibiam o cadeado.

“Phishing” é um tipo de ataque em que o criminoso cria um site enganoso, muito parecido com o original, a fim de enganar a vítima e induzi-la a repassar dados sensíveis, como senhas e informações pessoais. A vítima imagina estar entrando no internet banking ou fazendo a compra em uma loja conhecida, quando na verdade está enviando seus dados a alguém desconhecido e mal intencionado.

“Não só a imprensa, mas alguns analistas martelaram por muito tempo: ‘veja se tem o cadeado’, ‘se tem o cadeado, o site é legítimo'”, diz Fabio Assolini, pesquisador de segurança sênior para a América Latina da Kaspersky. “Até campanhas de bancos orientavam os correntistas a verificarem o cadeado”.

O pesquisador explica que o certificado digital ou certificado SSL, nomes técnicos do cadeado verde que aparece ao lado do endereço do site, garante apenas que a comunicação entre o usuário e o servidor onde o site está hospedado é criptografada, ou seja, que se alguém interceptar os dados trocados no meio do caminho, eles não poderão ser lidos. “O cadeado não garante que a página é a verdadeira ou não”, complementa.

A ascensão no uso do cadeado por sites de golpes é um fenômeno recente. Há um ano, o percentual desses sites que exibiam o ícone era de apenas 25%, também segundo a PhishLabs. Nesse curto intervalo, o uso do recurso praticamente dobrou.

Esse aumento é reflexo de algumas mudanças no mercado. John LaCour, da PhishLabs, acredita que a pressão do Google para que os sites adotassem o certificado digital sob pena de serem acusados de “Site não seguro” pelo Chrome, o navegador web mais popular do mundo, fez com que os criminosos se mexessem para oferecer isso também em suas páginas enganosas.

Em paralelo, explica Assolini, o acirramento da competição entre as emissoras de certificados digitais fez o preço desabar e as verificações de propriedade das marcas pelas empresas solicitantes, serem automatizadas e mais displicentes. Antes, era justamente o custo elevado e os processos mais burocráticos que validavam a dica — apenas empresas sérias se comprometiam com o gasto e a destinação de tempo e recursos para obterem o certificado. Com o barateamento, essa “vantagem” desapareceu.

A Let’s Encrypt, uma emissora de certificados gratuitos criada por players importantes e sérios — Akamai, Cisco, Electronic Frontier Foundation, Fundação Mozilla e Universidade de Michigan —, piorou o problema. Embora bem intencionada e extremamente útil para pequenos sites que, com recursos limitados, querem oferecer mais segurança e privacidade aos usuários e não aparecerem como inseguros aos usuários do Chrome, a iniciativa também eliminou o custo do certificado digital para os criminosos.

Como distinguir páginas enganosas?

Ao usuário final, ficou mais difícil de distinguir páginas falsas das legítimas. Assolini sugere algumas precauções, como verificar o órgão emissor do certificado digital clicando/tocando no cadeado (um banco, por exemplo, não usaria um certificado gratuito da Let’s Encrypt) e verificar o registro do domínio por ferramentas de “whois”, mas admite que a vida ficou mais difícil:

Precisamos educar o usuário. Ele terá que saber mais coisas para determinar se o site é verdadeiro ou não; isso não é mais tão trivial. Infelizmente, esses detalhes técnicos não ajudam muito o usuário.

Para ele, cabe à indústria mitigar os riscos. Uma dessas iniciativas é o Certificate Transparency, que monitora e audita certificados digitais gerando um banco de dados global capaz de identificar mais rapidamente certificados revogados. Outra boa ideia é a abordagem proativa, utilizada pela Kaspersky, que monitora a criação de novos domínios, onde muitos ataques de phishing começam, e sinaliza de pronto os suspeitos.

Foto do topo: Santeri Viinamäki/Wikimedia Commons.

Acompanhe

Newsletter (toda sexta, grátis):

  • Mastodon
  • Telegram
  • Twitter
  • Feed RSS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

3 comentários

  1. acesso remoto diretamente no pc da vitima nem precisa site falso ….. tem muitos meios mocada por acesso dns seria esse caso da materia mas remotamente faz estrago

  2. Errr, mais ou menos, não? Não dá para dizer que Let’sEncrypt Foundation e Google Chrome forçando as páginas a terem seus dados criptografados em uma conexão end-to-end é uma coisa ruim. Sem SSL/TLS, todo e qualquer dado pode ser interceptado ou susceptível a Man-in-the-middle attacks. Numa analogia bem ruim, é a mesma coisa que fornecer pizza boa de graça e reclamar que todo mundo ficando gordo. :D (eu sei que não é exatamente a mesma coisa aqui)

    Se o problema é o usuário final que viu um cadeado e não sabe a URL em que está, o problema é mais embaixo. O que eu concordo – e muito – com o autor do artigo original e que realmente é um problema grave (mas não mencionado no MdU) é o fato dos browser “renderizarem” caracteres de outras nacionalidades que causam confusão, o que pode facilitar – e bastante – o scam.

    Como exemplificado no artigo original:
    https://www.xn--bbox-vw5a[.]com/ é convertido para https://www.bỉbox[.]com/ depois de acessado, que é uma tentativa de scam para https://www.bibox[.]com. Notou o erro? O primeiro i é um caracter vietnamita e não um verdadeiro e simples i.

    Segue a dica do autor do artigo original para não cair nessa (somente Firefox):
    If you’re a Firefox (or Tor) user and would like Firefox to always render IDNs as their punycode equivalent when displayed in the browser address bar, type “about:config” without the quotes into a Firefox address bar. Then in the “search:” box type “punycode,” and you should see one or two options there. The one you want is called “network.IDN_show_punycode.” By default, it is set to “false”; double-clicking that entry should change that setting to “true.”

    Fora isso, segue o baile e obrigado a Let’sEncrypt Foundation e Google Chrome por fazerem da web, um local mais seguro.

    1. Não disse que é ruim, só que é um efeito colateral da popularização de sites com SSL — o que é uma coisa boa! É muito difícil que grandes mudanças tenham resultados 100% bons; quase sempre há efeitos colaterais negativos, previstos ou não.

      Ao forçar todos os sites a oferecerem acesso criptografado, o Google e a Let’s Encrypt ajudaram a tornar a web mais segura (embora eu tenha muitas ressalvas com o poder que o Google demonstrou de impor uma pauta à web aberta) e, ao mesmo tempo, forçou criminosos a se adaptarem a essa nova realidade, acabando com um sinal que, em outro contexto, era uma maneira simples e relativamente confiável de determinar se um site é seguro/legítimo ou não. Tipo uma externalidade.

      A dica do Firefox é uma boa, embora válida somente para o Firefox. Por isso (e concordo contigo) que o problema é mais embaixo. Muita gente que cai nesses golpes não se liga na URL, nem sabe o que é a URL ou então não se dá conta de que está em uma enganosa mesmo sem o uso de caracteres especiais — um bradesco.bancoseguro[.]com.br certamente enganaria muita gente.

Do NOT follow this link or you will be banned from the site!