Foto em macro de uma barra de endereço com HTTPS e o cadeado verde.

Aquele cadeado verde ao lado do endereço do site não significa que ele é legítimo


28/11/18 às 15h04

Você já deve ter lido e ouvido — várias vezes — aquela famigerada dica de sempre procurar pelo cadeado verde ao lado do endereço do site antes de comprar algo ou fornecer dados online, pois ele sinalizaria que o site é legítimo e seguro. Acontece que, hoje, essa dica é quase inútil.

Uma pesquisa da PhishLabs, empresa norte-americana especializada em prevenção de ataques virtuais, constatou que 49% de todos os sites de “phishing” detectados no terceiro trimestre de 2018 exibiam o cadeado.

“Phishing” é um tipo de ataque em que o criminoso cria um site enganoso, muito parecido com o original, a fim de enganar a vítima e induzi-la a repassar dados sensíveis, como senhas e informações pessoais. A vítima imagina estar entrando no internet banking ou fazendo a compra em uma loja conhecida, quando na verdade está enviando seus dados a alguém desconhecido e mal intencionado.

“Não só a imprensa, mas alguns analistas martelaram por muito tempo: ‘veja se tem o cadeado’, ‘se tem o cadeado, o site é legítimo'”, diz Fabio Assolini, pesquisador de segurança sênior para a América Latina da Kaspersky. “Até campanhas de bancos orientavam os correntistas a verificarem o cadeado”.

O pesquisador explica que o certificado digital ou certificado SSL, nomes técnicos do cadeado verde que aparece ao lado do endereço do site, garante apenas que a comunicação entre o usuário e o servidor onde o site está hospedado é criptografada, ou seja, que se alguém interceptar os dados trocados no meio do caminho, eles não poderão ser lidos. “O cadeado não garante que a página é a verdadeira ou não”, complementa.

A ascensão no uso do cadeado por sites de golpes é um fenômeno recente. Há um ano, o percentual desses sites que exibiam o ícone era de apenas 25%, também segundo a PhishLabs. Nesse curto intervalo, o uso do recurso praticamente dobrou.

Esse aumento é reflexo de algumas mudanças no mercado. John LaCour, da PhishLabs, acredita que a pressão do Google para que os sites adotassem o certificado digital sob pena de serem acusados de “Site não seguro” pelo Chrome, o navegador web mais popular do mundo, fez com que os criminosos se mexessem para oferecer isso também em suas páginas enganosas.

Em paralelo, explica Assolini, o acirramento da competição entre as emissoras de certificados digitais fez o preço desabar e as verificações de propriedade das marcas pelas empresas solicitantes, serem automatizadas e mais displicentes. Antes, era justamente o custo elevado e os processos mais burocráticos que validavam a dica — apenas empresas sérias se comprometiam com o gasto e a destinação de tempo e recursos para obterem o certificado. Com o barateamento, essa “vantagem” desapareceu.

A Let’s Encrypt, uma emissora de certificados gratuitos criada por players importantes e sérios — Akamai, Cisco, Electronic Frontier Foundation, Fundação Mozilla e Universidade de Michigan —, piorou o problema. Embora bem intencionada e extremamente útil para pequenos sites que, com recursos limitados, querem oferecer mais segurança e privacidade aos usuários e não aparecerem como inseguros aos usuários do Chrome, a iniciativa também eliminou o custo do certificado digital para os criminosos.

Como distinguir páginas enganosas?

Ao usuário final, ficou mais difícil de distinguir páginas falsas das legítimas. Assolini sugere algumas precauções, como verificar o órgão emissor do certificado digital clicando/tocando no cadeado (um banco, por exemplo, não usaria um certificado gratuito da Let’s Encrypt) e verificar o registro do domínio por ferramentas de “whois”, mas admite que a vida ficou mais difícil:

Precisamos educar o usuário. Ele terá que saber mais coisas para determinar se o site é verdadeiro ou não; isso não é mais tão trivial. Infelizmente, esses detalhes técnicos não ajudam muito o usuário.

Para ele, cabe à indústria mitigar os riscos. Uma dessas iniciativas é o Certificate Transparency, que monitora e audita certificados digitais gerando um banco de dados global capaz de identificar mais rapidamente certificados revogados. Outra boa ideia é a abordagem proativa, utilizada pela Kaspersky, que monitora a criação de novos domínios, onde muitos ataques de phishing começam, e sinaliza de pronto os suspeitos.

Foto do topo: Santeri Viinamäki/Wikimedia Commons.

Acompanhe o Manual do Usuário por e-mail (newsletter), Twitter e Telegram.