Fantástico, como assim site falso não tem o cadeado?

Alberto J Azevedo
Dec 12, 2017 · 5 min read

Domingo, 10 de dezembro de 2017. Uma reportagem no Fantástico investiga o submundo dos crimes virtuais, falando sobre venda de dados, compra de cartões de crédito, entre outras coisas. Entrevistas, repórteres investigando, participação especial de especialistas na área, padrão Globo de fazer. Entre os especialistas consultados estavam Anderson Ramos, a mente por trás do excelente RoadSec, que se tornou um dos maiores eventos de segurança da América Latina, e Wanderson Castilho, perito em crimes digitais, que já é meio que figurinha carimbada em matérias produzidas pela imprensa a respeito desse tipo de assunto. Tudo muito lindo, mas quase no final da matéria, por razões que não se sabe ao certo quais são, o especialista Wanderson Castilho dá uma "escorregada no tomate" bem preocupante. Nos instantes finais da reportagem, naquela fase de: O que fazer? ele apresenta como conselho aos usuários prestar atenção no "cadeadozinho verde" na barra de endereços, pois isso indica que é um "site seguro" e sites falsos não tem isso.

Pois bem amigos, isso foi uma bomba na comunidade de segurança da informação a partir do momento que foi ao ar. Eu particularmente nem sequer estava sabendo ou tinha visto a matéria, e fiquei sabendo nas redes sociais, não pelo que ela tem como objeto central da reportagem, mas por conta da informação totalmente absurda inserida no final. Infelizmente, a informação errada, é na imensa maioria das vezes pior do que a desinformação, porque ela cria uma falsa sensação de segurança, uma vez que a pessoa para de se preocupar e tomar os cuidados necessários por acreditar que esta segura. Por essa razão, resolvi escrever esse artigo, para tentar dentro do possível corrigir essa informação errada. Infelizmente esse artigo não chegará nem próximo de ter o mesmo alcance de uma reportagem no fantástico, e devido a gravidade do erro cometido, eu realmente acho que a rede globo deveria retificar essa informação em um outro programa, mas você querido leitor pode tentar ajudar nessa missão de corrigir esse "deslize", compartilhando este artigo com o maior número de pessoas possível.

Image for post
Image for post

Mas afinal, você sabe o que significa o cadeado?

Image for post
Image for post
Exemplo de phishing ou "site falso" com HTTPS

Existem N razões para os atacantes estarem se dando ao trabalho de emitir um certificado digital para seus sites de phishing. A primeira delas, é justamente tentar ludibriar o usuário usando dessa falsa informação de que um site com "cadeado" é um "site seguro", dessa forma, a pessoa se sente segura, mesmo acessando um site completamente falso, outra razão primordial, foi o fato de que os principais navegadores do mercado passaram a marcar e identificar sites que não sejam feitos através de conexão criptografada como inseguros, e finalmente pela facilidade em se obter certificados de forma gratuita, o que embora tenha esse efeito negativo, não é uma coisa ruim.

Image for post
Image for post
Versões novas dos principais navegadores agora indicam quando a conexão não é criptografada.

A essa altura, você pode estar se perguntando: OK, então como eu sei se o site é seguro? Bom, infelizmente não existe resposta simples pra isso. A realidade nua e crua é que todo cuidado é pouco, mas em primeiro lugar, sim, continue procurando sempre sites que possuam o "cadeado verde" no lado do endereço, afinal como já foi explicado, isso garante que a conexão entre as duas pontas é "segura" e lhe protege de uma infinidade de ataques. Segundo, preste sempre atenção no endereço da barra do navegador, é comum que atacantes registrem endereços parecidos com o nome do site original para tentar enganar usuários, então por exemplo, um criminoso registra o domínio americannas.com.br para conduzir ataques de phishing em clientes da americanas.com.br. Você notou o "n" a mais no primeiro endereço? Muita gente não nota. Agora se esse mesmo atacante registrasse e configurasse o acesso HTTPS no site, a simples existência do tal "cadeado verde" iria aumentar dramaticamente o número de pessoas que acabariam caindo no golpe, pela falsa sensação de segurança. Outra dica que muitos especialistas acreditam ser útil é a de usar o google como canal de acesso. Ou seja, se você deseja acessar o site do seu banco, normalmente ao abrir o seu navegador você na pagina inicial (ou numa barra acima) tem acesso ao google. Então ao invés de clicar em um link, ou digitar o endereço manualmente, uma simples busca pelo nome do banco, costuma retornar o endereço correto no primeiro resultado disponível. Mas vale a ressalva de clicar no primeiro resultado e não nos anúncios logo acima, recurso que também já foi usado por golpistas pra enganar usuários distraídos que usam essa técnica. Logicamente que o bom e velho conselho de não clicar em qualquer link em sites desconhecidos, ou e-mails suspeitos continua valendo.

Em resumo, não se engane. Existem sim milhares de sites falsos com o "cadeado verde" em se tratando de internet, cautela é a palavra de ordem, existem dezenas de ataques e técnicas mais avançadas que possíveis atacantes podem utilizar para tentar ludibriar usuários de DNS Poisoning a ataques CSRF, incluindo até ataques de phishing impossíveis de serem detectados, ou seja, considere a internet como aquele beco escuro que você precisa atravessar, vai fundo, mas todo cuidado é pouco!

Security Thoughts

Unafraid Opinions, Thoughts, Insights and Reflections about…

Alberto J Azevedo

Written by

Founder and CEO at CYB3R - Security Operations, Information Security Specialist/Entrepreneur, International Speaker, Writer, Free Culture Entusiast, DJ, ADHD…

Security Thoughts

Unafraid Opinions, Thoughts, Insights and Reflections about Information Security.

Alberto J Azevedo

Written by

Founder and CEO at CYB3R - Security Operations, Information Security Specialist/Entrepreneur, International Speaker, Writer, Free Culture Entusiast, DJ, ADHD…

Security Thoughts

Unafraid Opinions, Thoughts, Insights and Reflections about Information Security.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store