Foto em macro de uma barra de endereço com HTTPS e o cadeado verde.

Aquele cadeado verde ao lado do endereço do site não significa que ele é legítimo

Por
28/11/18, 15h04 4 min 3 comentários

Você já deve ter lido e ouvido — várias vezes — aquela famigerada dica de sempre procurar pelo cadeado verde ao lado do endereço do site antes de comprar algo ou fornecer dados online, pois ele sinalizaria que o site é legítimo e seguro. Acontece que, hoje, essa dica é quase inútil.

Uma pesquisa da PhishLabs, empresa norte-americana especializada em prevenção de ataques virtuais, constatou que 49% de todos os sites de “phishing” detectados no terceiro trimestre de 2018 exibiam o cadeado.

“Phishing” é um tipo de ataque em que o criminoso cria um site enganoso, muito parecido com o original, a fim de enganar a vítima e induzi-la a repassar dados sensíveis, como senhas e informações pessoais. A vítima imagina estar entrando no internet banking ou fazendo a compra em uma loja conhecida, quando na verdade está enviando seus dados a alguém desconhecido e mal intencionado.

“Não só a imprensa, mas alguns analistas martelaram por muito tempo: ‘veja se tem o cadeado’, ‘se tem o cadeado, o site é legítimo'”, diz Fabio Assolini, pesquisador de segurança sênior para a América Latina da Kaspersky. “Até campanhas de bancos orientavam os correntistas a verificarem o cadeado”.

O pesquisador explica que o certificado digital ou certificado SSL, nomes técnicos do cadeado verde que aparece ao lado do endereço do site, garante apenas que a comunicação entre o usuário e o servidor onde o site está hospedado é criptografada, ou seja, que se alguém interceptar os dados trocados no meio do caminho, eles não poderão ser lidos. “O cadeado não garante que a página é a verdadeira ou não”, complementa.

A ascensão no uso do cadeado por sites de golpes é um fenômeno recente. Há um ano, o percentual desses sites que exibiam o ícone era de apenas 25%, também segundo a PhishLabs. Nesse curto intervalo, o uso do recurso praticamente dobrou.

Esse aumento é reflexo de algumas mudanças no mercado. John LaCour, da PhishLabs, acredita que a pressão do Google para que os sites adotassem o certificado digital sob pena de serem acusados de “Site não seguro” pelo Chrome, o navegador web mais popular do mundo, fez com que os criminosos se mexessem para oferecer isso também em suas páginas enganosas.

Em paralelo, explica Assolini, o acirramento da competição entre as emissoras de certificados digitais fez o preço desabar e as verificações de propriedade das marcas pelas empresas solicitantes, serem automatizadas e mais displicentes. Antes, era justamente o custo elevado e os processos mais burocráticos que validavam a dica — apenas empresas sérias se comprometiam com o gasto e a destinação de tempo e recursos para obterem o certificado. Com o barateamento, essa “vantagem” desapareceu.

A Let’s Encrypt, uma emissora de certificados gratuitos criada por players importantes e sérios — Akamai, Cisco, Electronic Frontier Foundation, Fundação Mozilla e Universidade de Michigan —, piorou o problema. Embora bem intencionada e extremamente útil para pequenos sites que, com recursos limitados, querem oferecer mais segurança e privacidade aos usuários e não aparecerem como inseguros aos usuários do Chrome, a iniciativa também eliminou o custo do certificado digital para os criminosos.

Como distinguir páginas enganosas?

Ao usuário final, ficou mais difícil de distinguir páginas falsas das legítimas. Assolini sugere algumas precauções, como verificar o órgão emissor do certificado digital clicando/tocando no cadeado (um banco, por exemplo, não usaria um certificado gratuito da Let’s Encrypt) e verificar o registro do domínio por ferramentas de “whois”, mas admite que a vida ficou mais difícil:

Precisamos educar o usuário. Ele terá que saber mais coisas para determinar se o site é verdadeiro ou não; isso não é mais tão trivial. Infelizmente, esses detalhes técnicos não ajudam muito o usuário.

Para ele, cabe à indústria mitigar os riscos. Uma dessas iniciativas é o Certificate Transparency, que monitora e audita certificados digitais gerando um banco de dados global capaz de identificar mais rapidamente certificados revogados. Outra boa ideia é a abordagem proativa, utilizada pela Kaspersky, que monitora a criação de novos domínios, onde muitos ataques de phishing começam, e sinaliza de pronto os suspeitos.

Foto do topo: Santeri Viinamäki/Wikimedia Commons.

Compartilhe:
  • ande

    Errr, mais ou menos, não? Não dá para dizer que Let’sEncrypt Foundation e Google Chrome forçando as páginas a terem seus dados criptografados em uma conexão end-to-end é uma coisa ruim. Sem SSL/TLS, todo e qualquer dado pode ser interceptado ou susceptível a Man-in-the-middle attacks. Numa analogia bem ruim, é a mesma coisa que fornecer pizza boa de graça e reclamar que todo mundo ficando gordo. :D (eu sei que não é exatamente a mesma coisa aqui)

    Se o problema é o usuário final que viu um cadeado e não sabe a URL em que está, o problema é mais embaixo. O que eu concordo – e muito – com o autor do artigo original e que realmente é um problema grave (mas não mencionado no MdU) é o fato dos browser “renderizarem” caracteres de outras nacionalidades que causam confusão, o que pode facilitar – e bastante – o scam.

    Como exemplificado no artigo original:
    https://www.xn--bbox-vw5a[.]com/ é convertido para https://www.bỉbox[.]com/ depois de acessado, que é uma tentativa de scam para https://www.bibox[.]com. Notou o erro? O primeiro i é um caracter vietnamita e não um verdadeiro e simples i.

    Segue a dica do autor do artigo original para não cair nessa (somente Firefox):
    If you’re a Firefox (or Tor) user and would like Firefox to always render IDNs as their punycode equivalent when displayed in the browser address bar, type “about:config” without the quotes into a Firefox address bar. Then in the “search:” box type “punycode,” and you should see one or two options there. The one you want is called “network.IDN_show_punycode.” By default, it is set to “false”; double-clicking that entry should change that setting to “true.”

    Fora isso, segue o baile e obrigado a Let’sEncrypt Foundation e Google Chrome por fazerem da web, um local mais seguro.

    • Não disse que é ruim, só que é um efeito colateral da popularização de sites com SSL — o que é uma coisa boa! É muito difícil que grandes mudanças tenham resultados 100% bons; quase sempre há efeitos colaterais negativos, previstos ou não.

      Ao forçar todos os sites a oferecerem acesso criptografado, o Google e a Let’s Encrypt ajudaram a tornar a web mais segura (embora eu tenha muitas ressalvas com o poder que o Google demonstrou de impor uma pauta à web aberta) e, ao mesmo tempo, forçou criminosos a se adaptarem a essa nova realidade, acabando com um sinal que, em outro contexto, era uma maneira simples e relativamente confiável de determinar se um site é seguro/legítimo ou não. Tipo uma externalidade.

      A dica do Firefox é uma boa, embora válida somente para o Firefox. Por isso (e concordo contigo) que o problema é mais embaixo. Muita gente que cai nesses golpes não se liga na URL, nem sabe o que é a URL ou então não se dá conta de que está em uma enganosa mesmo sem o uso de caracteres especiais — um bradesco.bancoseguro[.]com.br certamente enganaria muita gente.

  • red mandrake

    acesso remoto diretamente no pc da vitima nem precisa site falso ….. tem muitos meios mocada por acesso dns seria esse caso da materia mas remotamente faz estrago