Fique atento ao navegar na Internet: o cadeado fechado (HTTPS) não é mais garantia de segurança

 

A crença, quase um mantra, de que ao encontrar um site que exibia aquele cadeado fechado no canto inferior direito do navegador da Internet significava um site seguro não é mais verdade.

Infelizmente o simbolo que deixava as pessoas se sentissem seguras ao fazer transações bancárias ou mesmo informar logins e senhas nesses ambientes não significa mais proteção pois atacantes já conseguem criar sites maliciosos com este certificado digital legítimo.

O problema é que cadeados fechados ou a sigla HTTPS escrito ao lado do endereço da página não dizem mais nada sobre o site. O criador de uma página falsa (phishing) pode obter um certificado digital que será reconhecido pelo navegador. O cadeado apenas indica que os dados serao transmitidos de forma criptografadas dificultando que que sejam monitorados enquanto estiverem em trânsito pela Internet mas as informações ainda podem ser roubadas por quem criou ou gerencia o site.

Durante a 8ª Conferência de Analistas de Segurança para a América Latina da Kaspersky Lab a companhia de segurança detalhou o processo pelos quais phishers conseguem obter certificados legítimos. Infelizmente o Brasil segue líder absoluto nos rankings (global e da região) deste tipo ataque.

Em caso de ausência do HTTPS e do cadeado, o navegador pode sinalizar o site como inseguro, impedir o acesso ou permitir que o usuário siga desde que tenha consciência de que está se expondo. Em caso de fraude, pode aparecer uma fechadura com um “X” vermelho acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido ou que não há garantia que o domínio pertence a empresa indicada no site. Esse é o caso mais suspeito e visualmente perceptível.

E agora o que fazer? A resposta é simples… desconfie.

Nunca digite informações de login e senhas (de aplicativos, e-mails e rede sociais), credenciais bancárias (e números de cartões de crédito), ou outro dado pessoal (cadastros em geral) em sites que você não conhece. Verifique o nome do domínio — sites falsos podem diferir do original por apenas uma letra e se os links são confiáveis antes de clicar. Sistemas antivírus verificam URLs com base em uma extensa lista de sites de phishing e detectam golpes independentemente do quão “seguro” o site pareça.

Gilberto Sudré

Gilberto Sudre

Professor e Pesquisador da FAESA – Centro Universitário e IFES - Instituto Federal de Educação, Ciência e Tecnologia do ES. Coordenador do Laboratório de Pesquisa em Segurança da Informação e Perícia Computacional Forense - LABSEG. Perito e Assistente Técnico em Computação Forense. Instrutor da Academia de Polícia do ES na área de Computação Forense. Membro da Sociedade Brasileira de Ciências Forenses. Membro da HTCIA - High Technology Crime Investigation Association. Liderança do Singularity University - Vitória Chapter. Membro fundador do DC5527, grupo local da Conferência Internacional de Segurança da Informação DEF CON. Articulista do Jornal A Gazeta. Autor do Blog Conexão Digital. Comentarista de Tecnologia da Rádio CBN e TV Gazeta. Autor dos livros Antenado na Tecnologia e Redes de Computadores e co-autor dos livros Internet: O encontro de 2 Mundos, Segurança da Informação: Como se proteger no mundo Digital, Marco Civil da Internet, Processo Judicial Eletrônico e Tratado de Computação Forense.

Website: http://gilberto.sudre.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CommentLuv badge

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.