Todo site com cadeado é seguro? Entenda por ele não garante proteção

Todo site com cadeado é seguro? Entenda por ele não garante proteção – Canaltech

Nos anos 2000, havia uma regra de ouro na internet: “só insira dados do cartão de crédito em um site com um cadeado ao lado da barra de endereços”. Embora eficiente, essa tática já está desatualizada: mais de 80% dos sites de phishing também trazem o tal cadeado, um sinal de criptografia. A confiança do usuário no símbolo se voltou contra ele.

O que o cadeado realmente significa?

O “cadeado” nada mais é do que a garantia de certificados SSL/TLS no site, ou seja, a conexão entre seu computador e o servidor da página web é criptografada e privada (HTTPS). Imagine um carro forte: é como mandar seu dinheiro no veículo blindado, onde é impossível roubá-lo no meio do caminho.

O tal “cadeado” é um sinal de que o site visitado usa criptografia, sendo HTTPS; uma vez confiável, a métrica já não quer dizer mais nada (Imagem: Reprodução/Wikimedia Commons)

O problema é que isso não garante que o destino final não seja a conta de um golpista. Você só vai estar enviando seus dados de mão beijada para os bandidos virtuais de maneira extremamente segura.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Como os hackers conseguem o cadeado?

Com o surgimento de autoridades certificadoras gratuitas, como o Let’s Encrypt, qualquer pessoa, mesmo um cibercriminoso, consegue emitir um certificado SSL em questão de cinco minutos, facilitando muito a criação de sites falsos.

Um caso recente, estudado pelos especialistas da GitGuardian, mostrou que mesmo chaves privadas TLS (também conhecidas como “chaves mestras”) ainda vazam em sites como o GitHub, permitindo que hackers criem clones perfeitos de sites de governos ou bancos, levando ao reconhecimento do usuário como um site oficial (tática chamada de spoofing).

Outra técnica popular é o typosquatting, onde hackers registram domínios quase iguais aos originais, mas substituem caracteres de outros alfabetos que se parecem muito com o latino. O navegador exibe tudo “certo”, incluindo o cadeado da encriptação, mas mal sabe a vítima que se trata de uma página fraudulenta, idêntica à original.

Clicar no cadeado já ajuda muito a descobrir a segurança do site: se a razão social da empresa estiver ali, bom sinal (Imagem: Canaltech/Captura de Tela/Lillian Sibila)

Como evitar falsos sites encriptados

Com tudo isso em mente, nunca confie apenas no visual do site: é preciso ler o endereço em busca de erros de digitação sutis e caracteres estranhos, para evitar o typosquatting, além de extensões suspeitas. Também clique no ícone do cadeado, que revela os detalhes do certificado: sites de grandes empresas e instituições costumam trazer a razão social da empresa.

Também tenha cuidado com links patrocinados na busca do Google ou em outros buscadores: é comum que cibercriminosos incluam seus sites falsos, mas com cadeado, nos Google Ads e outros serviços de publicidade. Evite qualquer site no topo das buscas, só entrando depois que os patrocinados acabarem.

Lembre-se, ainda, que bancos não enviam links com cronômetros dizendo que sua conta será bloqueada em cinco minutos nem outros sinais de urgência extrema. Nunca clique em mensagens suspeitas que exigem ação rápida.

A segurança digital, atualmente, exige atenção ativa: o cadeado é necessário, mas é apenas o primeiro passo para se proteger. O selo definitivo de confiança vem de várias etapas de verificação, e depende de você, caro internauta.

Leia a matéria no Canaltech.

Source link