Início » Antivírus e Segurança » Por que HTTPS não quer dizer "site seguro"

Por que HTTPS não quer dizer "site seguro"

A tecnologia de certificados SSL (que fornece HTTPS) não funciona exatamente assim e "conexão segura" não implica site idem

Melissa Cruz Cossetti Por
TB Responde

Condicionou-se ver sites com certificado SSL — dotados de um cadeado verde e protocolo HTTPS — como "sites seguros". Essa certeza, faz com que as pessoas pensem que, ao inserir dados bancários ou logins e senhas nesses ambientes, não correm qualquer perigo. Entretanto, a tecnologia de certificados digitais não funciona exatamente assim e uma "conexão segura" (real significado dessa sinalização) não implica um site idem. Sim, há sites maliciosos com certificado digital legítimo.

A presença de sites com HTTPS só cresce, à medida que o protocolo se tornou padrão na Internet, já que o Google (dono do navegador mais popular) vem desestimulando os sites sem criptografia desde o lançamento do Chrome 68, que sinaliza todas as páginas HTTP como “não seguras”, provocando uma corrida pela certificação. A maioria dos proprietários não querem que o Google classifique os seus sites como inseguros, e a migração para o uso do HTTPS é questão de tempo. Digitar dados sensíveis em qualquer ambiente online sem o “S” segue sendo péssima ideia, de qualquer forma.

Chrome-seguro-https / Google

 

O que é certificado SSL?

O Certificado SSL (Secure Socket Layer) é um arquivo de dados que vincula, de forma digital, uma chave criptografada à uma empresa. Quando instalado em um servidor, o SSL ativa o cadeado e o protocolo HTTPS em um site, oferecendo "conexões seguras" entre o servidor web e o dispositivo. Evitando, por exemplo, a interceptação dos dados.

"SSL é a tecnologia de segurança padrão para estabelecer uma ligação encriptada entre um servidor web e um navegador. Essa ligação garante que todos os dados passados entre o servidor web e o seu browser [logins e senhas, dados bancários, números de cartões de crédito e cadastros] permaneçam privados", define o SSL.com.

Como funciona a certificação digital?

Uma conexão certificada por SSL é sempre iniciada pelo cliente. Quando um usuário de navegador solicita a conexão em um site seguro, o browser (seja ele qual for, Chrome, Firefox, Safari e etc) solicita o envio do "Certificado Digital" e verifica se ele é válido, se está em dia e se pertence ao site em questão. Nesse caso, a URL começará com HTTPS.

O problema com o HTTPS

O problema é que cadeados verdes, HTTPS na URL e os próprios certificados SSL não dizem nada sobre o site. Uma página de phishing pode obter um certificado digital, apresentar a "tranca" e encriptar o fluxo de informações com uma "conexão segura". O cadeado simplesmente garante que ninguém pode espionar os dados trocados, mas as suas informações ainda podem ser roubadas por quem criou ou gerencia a página.

80% dos usuários acredita que está seguro com HTTPS

Os phishers — golpistas do phishing — sabem disso muito bem. De acordo com a Phishlabs, um quarto dos ataques desse tipo em 2017 ocorreram em sites HTTPS. Além disso, uma pesquisa do mesmo ano revela que mais de 80% dos usuários acreditam que a presença do cadeado significa que o site é seguro, adicionando combustível.

Em caso de ausência do HTTPS e do cadeado, o navegador pode sinalizar o site como inseguro, impedir o acesso ou permitir que o usuário siga desde que tenha consciência de que está se expondo. Em caso de fraude, pode aparecer uma fechadura com um "X" vermelho acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido ou que não há garantia que o domínio pertence a empresa indicada na página. Esse é o caso mais suspeito e visualmente perceptível.

Como sites de phishing obtém HTTPS

Durante a 8ª Conferência de Analistas de Segurança para a América Latina da Kaspersky Lab*, na Cidade do Panamá, que ocorreu nos dias 13 e 14 de agosto, a companhia de segurança detalhou o processo pelos quais phishers conseguem obter certificados legítimos. O Brasil, segue líder absoluto nos rankings (global e da região) deste ataque.

"Hoje, é trivial, gratuito e fácil para o criminoso registrar um domínio, botar um site de phishing no ar, realizar uma campanha, e o site ter um certificado digital. O site tem o HTTPS", afirmou Fábio Assolini, analista sênior de segurança da Kaspersky Lab.

Kaspersky - Fabio Assolini / Divulgação

"O que facilitou muito o trabalho deles foi o Let's Encrypt, uma iniciativa muito legal que dá certificado digital para quem não quer [ou não pode] pagar. Há certificados digitais que são caríssimos. Muitos se beneficiam disso, inclusive o criminoso", completou.

O que é o Let's Encrypt?

O Let's Encrypt é uma autoridade de certificação digital que fornece certificados de criptografia gratuitos através de um processo automatizado. A automação tem como objetivo eliminar a complexidade dos processos de criação, validação, instalação e renovação de certificados. O cenário, sem uma verificação dedicada, favorece golpistas.

Em um post de 2015, sem atualização sobre o tema, o Let's Encrypt não se mostrou decidido a realizar mudanças: "Decidir o que fazer aqui tem sido difícil. Por um lado, não gostamos desses sites mais do que qualquer outra pessoa, e nossa missão é ajudar a criar uma web mais segura e protegida. Por outro lado, não temos certeza de que a emissão de certificados (pelo menos para validação de domínio) seja o nível adequado para policiar sites de phishing e malware". Desde então, números de phishing crescem.

"Quando o certificado foi criado, a intenção era essa: você está num site verdadeiro porque a empresa que vendia certificados dizia que só ia vender para quem realmente fosse o dono de um site legítimo. Mas, com o passar do tempo, isso foi se desvirtuando. Hoje, vende-se para todo mundo, e esse todo mundo vai fazer phishing", conclui Assolini.

Em resumo, certificado, cadeado e "S" significam que a transmissão entre você e o site está encriptada, e que o certificado foi emitido por uma autoridade em SSL. Porém, isso não previne que sites HTTPS sejam maliciosos ou que a autoridade esteja ciente do conteúdo. Pode ocorrer, ainda, que a chave de criptografia privada do site vaze na web.

E agora?

Desconfie. Nunca digite informações de login e senhas (de aplicativos, e-mails e rede sociais), credenciais bancárias (e números de cartões de crédito), ou outro dado pessoal (cadastros em geral) em sites que você não conhece. Verifique o nome do domínio — sites falsos podem diferir do original por apenas uma letra e se os links são confiáveis antes de clicar. Sistemas antivírus verificam URLs com base em uma extensa lista de sites de phishing e detectam golpes independentemente do quão “seguro” o site pareça.

*A jornalista viajou para o Panamá a convite da Kaspersky

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Marcos Guilherme
Parabéns pela matéria.
Jonas Lima
Acredito que faltou mencionar que recentemente o Google tirou do seu navegador o cadeado verde que demonstrava a utilização de HTTPS, agora apenas mostra que é um site Seguro.
obitow
Ruim com o Let's Encrypt. Pior sem ele.
J_Eduardo
Acredito que nós q Lemos e buscamos informações sobre computadores e smartfones em geral já temos o desconfiômetro ligado, o problema são os milhares que desejam acessar serviços e realizar compras ou mesmo ajudar pessoas e que não tem este desconfiômetro, ou mesmo desconfiados acabam iludidos por armações muito bem pensadas para enganar encautos. Acredito que a solução (ou o melhor caminho) seria todos os sites honestos publicarem banners com estas orientações e dicas como estas de como evitar os riscos. Por outro lado, varias paginas da RECEITA FEDERAL não tem certificação, como a DE TIRAR CPF novo? E aí, como ficamos, se o proprio governos não tem preocupação ou não ajuda?
CaioWzy
"HTTPS & SSL não quer dizer 'este site é confiável'. Mas quer dizer 'a comunicação com este site é privada' e você pode estar tendo uma conversa privada com o próprio diabo".https://twitter.com/shansel...
Caleb Enyawbruce
Ótima matéria!! 👏👏👏
Caleb Enyawbruce
Você está certo: a tática de usar uma senha incorreta ao desconfiar do site continua sendo uma boa prática.
grande_dino_2
Lembro de uma dica meio antiga, não sei se serve ainda, mas não custa tentar.Além de desconfiar, digite credenciais erradas. Em tese, se o site for falso, ele vai te logar mesmo com uma senha errada, daí você sabe que o site é falso.Outra coisa que se pode fazer, que é mais seguro ainda, é usar um gerenciador de senhas com auto-fill. Esses gerenciadores só vão digitar a senha no site certo, então se você entrar num site falso, o gerenciador não vai digitar a senha pra você e você vai saber que o site é falso.
Orley Lima
👏👏👏Muito bom!