Tag Archives: certificado ssl

  • 0

HTTPS não quer dizer seguro

Tags : 

Share

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL.

A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?
Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.

Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
Garanta a proteção de seus dispositivos: o Kaspersky Internet Security verifica URLs com base em extensa lista de sites de phishing e detecta golpes independentemente do quão “seguro” determinado recurso pareça.

Fonte: KASPERSKYlabDAILY

Share

Procure-nos para uma solução completa para o TI da sua empresa