Fantástico, como assim site falso não tem o cadeado?
Domingo, 10 de dezembro de 2017. Uma reportagem no Fantástico investiga o submundo dos crimes virtuais, falando sobre venda de dados, compra de cartões de crédito, entre outras coisas. Entrevistas, repórteres investigando, participação especial de especialistas na área, padrão Globo de fazer. Entre os especialistas consultados estavam Anderson Ramos, a mente por trás do excelente RoadSec, que se tornou um dos maiores eventos de segurança da América Latina, e Wanderson Castilho, perito em crimes digitais, que já é meio que figurinha carimbada em matérias produzidas pela imprensa a respeito desse tipo de assunto. Tudo muito lindo, mas quase no final da matéria, por razões que não se sabe ao certo quais são, o especialista Wanderson Castilho dá uma "escorregada no tomate" bem preocupante. Nos instantes finais da reportagem, naquela fase de: O que fazer? ele apresenta como conselho aos usuários prestar atenção no "cadeadozinho verde" na barra de endereços, pois isso indica que é um "site seguro" e sites falsos não tem isso.
Pois bem amigos, isso foi uma bomba na comunidade de segurança da informação a partir do momento que foi ao ar. Eu particularmente nem sequer estava sabendo ou tinha visto a matéria, e fiquei sabendo nas redes sociais, não pelo que ela tem como objeto central da reportagem, mas por conta da informação totalmente absurda inserida no final. Infelizmente, a informação errada, é na imensa maioria das vezes pior do que a desinformação, porque ela cria uma falsa sensação de segurança, uma vez que a pessoa para de se preocupar e tomar os cuidados necessários por acreditar que esta segura. Por essa razão, resolvi escrever esse artigo, para tentar dentro do possível corrigir essa informação errada. Infelizmente esse artigo não chegará nem próximo de ter o mesmo alcance de uma reportagem no fantástico, e devido a gravidade do erro cometido, eu realmente acho que a rede globo deveria retificar essa informação em um outro programa, mas você querido leitor pode tentar ajudar nessa missão de corrigir esse "deslize", compartilhando este artigo com o maior número de pessoas possível.
Mas afinal, você sabe o que significa o cadeado?
Bom, ao contrário do que foi dito, a verdade é que o número de sites falsos com o "cadeado verde" tem crescido exponencialmente nos últimos anos. Eles triplicaram nos primeiros meses de 2017 e estudos recentes apontam que pelo menos 25% de todos os sites de phishing, ou os chamados "sites falsos" já usam certificados digitais. O "cadeado verde" que aparece no lado da sua tela, nada mais é do que o indicativo de que a comunicação entre o seu computador e o site estão criptografados. Na verdade significa que 1) A comunicação esta criptografada, 2) O certificado é válido, e 3) Ele foi emitido por uma autoridade certificadora confiável. Porém nada disso significa que o site em si é "seguro" e talvez daí tem se originado o mais novo problema na área de cybercrimes. Essa falsa ideia de que um site que possua o tal cadeado é um site seguro. Quando na verdade o cadeado indica somente que a conexão entre o seu computador e o site é que é segura, afinal por estar criptografada se torna mais difícil para atacantes, interceptarem dados que trafeguem por ela. Daí saíram os conselhos de nunca digitar senhas ou dados sensíveis em sites que não tenham o tal cadeado. Porém a existência por si só do cadeado, não atesta que aquele site é seguro. Pode significar simplesmente que a conexão entre a sua máquina e o site falso é segura!
Existem N razões para os atacantes estarem se dando ao trabalho de emitir um certificado digital para seus sites de phishing. A primeira delas, é justamente tentar ludibriar o usuário usando dessa falsa informação de que um site com "cadeado" é um "site seguro", dessa forma, a pessoa se sente segura, mesmo acessando um site completamente falso, outra razão primordial, foi o fato de que os principais navegadores do mercado passaram a marcar e identificar sites que não sejam feitos através de conexão criptografada como inseguros, e finalmente pela facilidade em se obter certificados de forma gratuita, o que embora tenha esse efeito negativo, não é uma coisa ruim.
A essa altura, você pode estar se perguntando: OK, então como eu sei se o site é seguro? Bom, infelizmente não existe resposta simples pra isso. A realidade nua e crua é que todo cuidado é pouco, mas em primeiro lugar, sim, continue procurando sempre sites que possuam o "cadeado verde" no lado do endereço, afinal como já foi explicado, isso garante que a conexão entre as duas pontas é "segura" e lhe protege de uma infinidade de ataques. Segundo, preste sempre atenção no endereço da barra do navegador, é comum que atacantes registrem endereços parecidos com o nome do site original para tentar enganar usuários, então por exemplo, um criminoso registra o domínio americannas.com.br para conduzir ataques de phishing em clientes da americanas.com.br. Você notou o "n" a mais no primeiro endereço? Muita gente não nota. Agora se esse mesmo atacante registrasse e configurasse o acesso HTTPS no site, a simples existência do tal "cadeado verde" iria aumentar dramaticamente o número de pessoas que acabariam caindo no golpe, pela falsa sensação de segurança. Outra dica que muitos especialistas acreditam ser útil é a de usar o google como canal de acesso. Ou seja, se você deseja acessar o site do seu banco, normalmente ao abrir o seu navegador você na pagina inicial (ou numa barra acima) tem acesso ao google. Então ao invés de clicar em um link, ou digitar o endereço manualmente, uma simples busca pelo nome do banco, costuma retornar o endereço correto no primeiro resultado disponível. Mas vale a ressalva de clicar no primeiro resultado e não nos anúncios logo acima, recurso que também já foi usado por golpistas pra enganar usuários distraídos que usam essa técnica. Logicamente que o bom e velho conselho de não clicar em qualquer link em sites desconhecidos, ou e-mails suspeitos continua valendo.
Em resumo, não se engane. Existem sim milhares de sites falsos com o "cadeado verde" em se tratando de internet, cautela é a palavra de ordem, existem dezenas de ataques e técnicas mais avançadas que possíveis atacantes podem utilizar para tentar ludibriar usuários de DNS Poisoning a ataques CSRF, incluindo até ataques de phishing impossíveis de serem detectados, ou seja, considere a internet como aquele beco escuro que você precisa atravessar, vai fundo, mas todo cuidado é pouco!
