Certificado e cadeado não significa que o site é seguro

Cadeado e certificado apenas indica uma conexão criptografada

A presença do cadeado e de certificado digital nas páginas HTTPS não significa que o site é seguro

Quando a maioria das pessoas olham para um site que tenha um cadeado imaginam que os mesmos são seguros e que estão em um ambiente totalmente protegido.

Cada vez mais sites passam para HTTPS, a maioria não tem escolha,  quanto mais seguro melhor não? Porém, a grande verdade é que os símbolos de “segurança” não garantem de fato a segurança do site ou do ambiente ao qual você está acessando.

O cadeado significa que um site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página, neste caso a URL começa com HTTPS, com o último “s” significando “seguro”.

Os dados criptografados significam que a informação trocada entre você e a página está fora do alcance de terceiros, isso permite que você coloque dados como informações do cartão de crédito sem que ninguém esteja espiando.

O problema é que cadeados e certificados não dizem nada sobre o site em si. Uma página de phishing por exemplo pode simplesmente obter esse certificado e criptografar todo o fluxo. O cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto sua senha ainda pode ser roubada pelo site caso este seja falso.

Phishers usam muito este processo, de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas veze antes de inserir seus dados.

“80% dos usuários acreditam que a presença do cadeado no endereço do site garante a sua segurança”

Esse esforço para obter mais páginas seguras na web resultou em um aumento significativo no número de páginas da web usando o HTTPS. De acordo com a Let’s Encrypt, 65% das páginas web carregadas pelo Firefox em novembro usaram HTTPS, em comparação com 45% no final de 2016

Porcentagem de pageloads usando HTTPS desde outubro de 2015 (Fonte: Let’s encrypt)

 

Com base nessas tendências, não é surpreendente que o número de phish hospedados em sites HTTPS também estejam aumentando. É interessante notar que a taxa de phishing hospedados em páginas HTTPS aumenta significativamente mais rápido do que a adoção global do HTTPS.

No terceiro trimestre de 2017, segundo a Phishlabs, observou-se quase um quarto de todos os sites de phishing hospedados em domínios HTTPS, quase o dobro da porcentagem vista no segundo trimestre. Um ano atrás, menos de três por cento do phish foram hospedados em sites usando certificados SSL. Dois anos atrás, esse mesmo número era inferior a um por cento.

Trendencia de Phishing sites hospedados em domínios HTTPS (fonte: Phishlabs)

 

Mas e se a barra de endereço não tiver o cadeado? Significa que o site não usa criptografia, ou seja troca informações com o seu navegador por meio do HTTP comum. O google começou a rotular tais páginas como inseguras, pois embora possam ser legitimas não criptografam o tráfego entre você e o servidor.

A maioria dos proprietários não querem que o google classifique seus sites como inseguros, de forma que a migração para o HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “S” é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

Para resumir, a presença do certificado e do cadeado significam apenas que a transmissão entre você e o site esta criptografada e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique sempre ligado, não importa se a primeira impressão sobre o site parece ser segura.

 

Veja também:

 

fonte: Kaspersky Labs  & Phishlabs
Por Celso Faquer
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!