30/05/2018

HTTPS não quer dizer segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um site é seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

  • Conexão segura não significa um site seguro

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

  • Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura:

  1. Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  2. Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  3. Garanta a proteção de seus dispositivos com antivírus eficaz: o Kaspersky Internet Security verifica URLs com base em extensa lista de sites de phishing e detecta golpes independentemente do quão “seguro” determinado recurso pareça.

Fonte: Kaspersky Blog

Procurar Notícias