Início » Antivírus e Segurança » Por que HTTPS não quer dizer "site seguro"

Por que HTTPS não quer dizer "site seguro"

A tecnologia de certificados SSL (que fornece HTTPS) não funciona exatamente assim e "conexão segura" não implica site idem

Melissa Cruz Cossetti Por
1 ano atrás

Condicionou-se ver sites com certificado SSL — dotados de um cadeado verde e protocolo HTTPS — como "sites seguros". Essa certeza, faz com que as pessoas pensem que, ao inserir dados bancários ou logins e senhas nesses ambientes, não correm qualquer perigo. Entretanto, a tecnologia de certificados digitais não funciona exatamente assim e uma "conexão segura" (real significado dessa sinalização) não implica um site idem. Sim, há sites maliciosos com certificado digital legítimo.

A presença de sites com HTTPS só cresce, à medida que o protocolo se tornou padrão na Internet, já que o Google (dono do navegador mais popular) vem desestimulando os sites sem criptografia desde o lançamento do Chrome 68, que sinaliza todas as páginas HTTP como “não seguras”, provocando uma corrida pela certificação. A maioria dos proprietários não querem que o Google classifique os seus sites como inseguros, e a migração para o uso do HTTPS é questão de tempo. Digitar dados sensíveis em qualquer ambiente online sem o “S” segue sendo péssima ideia, de qualquer forma.

Chrome-seguro-https / Google

 

O que é certificado SSL?

O Certificado SSL (Secure Socket Layer) é um arquivo de dados que vincula, de forma digital, uma chave criptografada à uma empresa. Quando instalado em um servidor, o SSL ativa o cadeado e o protocolo HTTPS em um site, oferecendo "conexões seguras" entre o servidor web e o dispositivo. Evitando, por exemplo, a interceptação dos dados.

"SSL é a tecnologia de segurança padrão para estabelecer uma ligação encriptada entre um servidor web e um navegador. Essa ligação garante que todos os dados passados entre o servidor web e o seu browser [logins e senhas, dados bancários, números de cartões de crédito e cadastros] permaneçam privados", define o SSL.com.

Como funciona a certificação digital?

Uma conexão certificada por SSL é sempre iniciada pelo cliente. Quando um usuário de navegador solicita a conexão em um site seguro, o browser (seja ele qual for, Chrome, Firefox, Safari e etc) solicita o envio do "Certificado Digital" e verifica se ele é válido, se está em dia e se pertence ao site em questão. Nesse caso, a URL começará com HTTPS.

O problema com o HTTPS

O problema é que cadeados verdes, HTTPS na URL e os próprios certificados SSL não dizem nada sobre o site. Uma página de phishing pode obter um certificado digital, apresentar a "tranca" e encriptar o fluxo de informações com uma "conexão segura". O cadeado simplesmente garante que ninguém pode espionar os dados trocados, mas as suas informações ainda podem ser roubadas por quem criou ou gerencia a página.

80% dos usuários acredita que está seguro com HTTPS

Os phishers — golpistas do phishing — sabem disso muito bem. De acordo com a Phishlabs, um quarto dos ataques desse tipo em 2017 ocorreram em sites HTTPS. Além disso, uma pesquisa do mesmo ano revela que mais de 80% dos usuários acreditam que a presença do cadeado significa que o site é seguro, adicionando combustível.

Em caso de ausência do HTTPS e do cadeado, o navegador pode sinalizar o site como inseguro, impedir o acesso ou permitir que o usuário siga desde que tenha consciência de que está se expondo. Em caso de fraude, pode aparecer uma fechadura com um "X" vermelho acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido ou que não há garantia que o domínio pertence a empresa indicada na página. Esse é o caso mais suspeito e visualmente perceptível.

Como sites de phishing obtém HTTPS

Durante a 8ª Conferência de Analistas de Segurança para a América Latina da Kaspersky Lab*, na Cidade do Panamá, que ocorreu nos dias 13 e 14 de agosto, a companhia de segurança detalhou o processo pelos quais phishers conseguem obter certificados legítimos. O Brasil, segue líder absoluto nos rankings (global e da região) deste ataque.

"Hoje, é trivial, gratuito e fácil para o criminoso registrar um domínio, botar um site de phishing no ar, realizar uma campanha, e o site ter um certificado digital. O site tem o HTTPS", afirmou Fábio Assolini, analista sênior de segurança da Kaspersky Lab.

Kaspersky - Fabio Assolini / Divulgação

"O que facilitou muito o trabalho deles foi o Let's Encrypt, uma iniciativa muito legal que dá certificado digital para quem não quer [ou não pode] pagar. Há certificados digitais que são caríssimos. Muitos se beneficiam disso, inclusive o criminoso", completou.

O que é o Let's Encrypt?

O Let's Encrypt é uma autoridade de certificação digital que fornece certificados de criptografia gratuitos através de um processo automatizado. A automação tem como objetivo eliminar a complexidade dos processos de criação, validação, instalação e renovação de certificados. O cenário, sem uma verificação dedicada, favorece golpistas.

Em um post de 2015, sem atualização sobre o tema, o Let's Encrypt não se mostrou decidido a realizar mudanças: "Decidir o que fazer aqui tem sido difícil. Por um lado, não gostamos desses sites mais do que qualquer outra pessoa, e nossa missão é ajudar a criar uma web mais segura e protegida. Por outro lado, não temos certeza de que a emissão de certificados (pelo menos para validação de domínio) seja o nível adequado para policiar sites de phishing e malware". Desde então, números de phishing crescem.

"Quando o certificado foi criado, a intenção era essa: você está num site verdadeiro porque a empresa que vendia certificados dizia que só ia vender para quem realmente fosse o dono de um site legítimo. Mas, com o passar do tempo, isso foi se desvirtuando. Hoje, vende-se para todo mundo, e esse todo mundo vai fazer phishing", conclui Assolini.

Em resumo, certificado, cadeado e "S" significam que a transmissão entre você e o site está encriptada, e que o certificado foi emitido por uma autoridade em SSL. Porém, isso não previne que sites HTTPS sejam maliciosos ou que a autoridade esteja ciente do conteúdo. Pode ocorrer, ainda, que a chave de criptografia privada do site vaze na web.

E agora?

Desconfie. Nunca digite informações de login e senhas (de aplicativos, e-mails e rede sociais), credenciais bancárias (e números de cartões de crédito), ou outro dado pessoal (cadastros em geral) em sites que você não conhece. Verifique o nome do domínio — sites falsos podem diferir do original por apenas uma letra e se os links são confiáveis antes de clicar. Sistemas antivírus verificam URLs com base em uma extensa lista de sites de phishing e detectam golpes independentemente do quão “seguro” o site pareça.

*A jornalista viajou para o Panamá a convite da Kaspersky

Você pode se interessar também

Mais sobre: , ,
Participe das conversas do Tecnoblog

Leia o post inteiro antes de comentar
e seja legal com seus amiguinhos.

Carregar Comentários Conheça nossa política de comentários.