Os Sites de Phishing podem Explorar o Protocolo HTTPS, Alerta o FBI

FBI Warns of Phishing Pages Over HTTPS

Na segunda-feira, o Centro de denúncias e crimes na Internet (IC3) emitiu um aviso que deveria torná-lo mais vigilante e ajudá-lo a evitar ser vítima de um ataque de phishing. Ele diz que a decisão sobre se você deseja ou não confiar em uma página específica não deve mais se basear no ícone de cadeado verde na barra de endereço.

O IC3 faz parte do Bureau Federal de Investigação e as pessoas tendem a ouvir o que organizações desse tipo costumam dizer. Devemos salientar que tudo o que o IC3 escreveu no aviso é completamente verdadeiro. O alerta provavelmente deveria ter saído mais cedo, no entanto.

Os especialistas da PhishLabs, uma empresa especializada em analisar o cenário e as tendências de phishing, vêm acompanhando o número de páginas de golpes que carregam o cadeado verde. No final do ano passado, eles observaram que quase a metade de todas as páginas de phishing são veiculadas com todos os símbolos importantes. As primeiras formas de login falsas desse tipo apareceram em 2015, o que mostra que a confiabilidade da trava verde como indicador de segurança diminuiu há muito tempo.

O Problema

Durante anos, as pessoas foram ensinadas que o cadeado verde é um símbolo de uma página confiável. Na realidade, este não é (e nunca será) o caso. Na verdade, o bloqueio indica que a página que você está visualizando é veiculada por uma conexão HTTPS. HTTPS significa Hypertext Transfer Protocol Secure e a diferença entre ele e o protocolo HTTP comum é que as informações comunicadas são criptografadas.

O HTTPS é um protocolo de comunicação e, embora possa garantir uma melhor proteção dos seus dados, não pode fazer nada para garantir que as informações não acabem no lugar errado. O equívoco vem do fato de que, para veicular seu site por HTTPS, você deve ter um certificado SSL. No passado, a configuração de um certificado SSL custava bastante tempo, esforço e dinheiro, e para os criminosos, isso simplesmente não era economicamente viável. Somente organizações legítimas se incomodariam em instalar certificados SSL em seus sites com a esperança de ganhar a confiança das pessoas e, é claro, proteger seus dados. Infelizmente, o custo foi alto demais para algumas das empresas menores que desejavam proteger seus sites, mas não tinham os recursos. Logo, os problemas de envio e recebimento de informações (que incluíam credenciais de login e detalhes de cartão de crédito) em formato não criptografado tornaram-se dolorosamente aparentes.

Esses problemas deram origem ao Let's Encrypt - a primeira CA (Autoridade de Certificação) sem fins lucrativos que emite certificados SSL de graça. O Let's Encrypt não apenas removeu a necessidade de um grande investimento financeiro, mas também simplificou os processos de instalação e renovação, o que significava que todos tinham a chance de proteger seus sites.

Infelizmente, rapidamente ficou claro que os phishers também aproveitarão os certificados gratuitos. Os criminosos perceberam que fazer suas páginas fraudulentas parecerem legítimas não requeria investimento financeiro e, com certeza, eles não precisavam de um segundo convite.

A Solução

Dadas todas essas informações, muitas pessoas podem ficar tentadas a dizer que é fácil eliminar o problema das páginas de phishing veiculadas por HTTPS. Eles podem argumentar que precisamos apenas remover as CAs que oferecem certificados SSL gratuitos e transformar o HTTPS em um luxo que os bandidos não podem pagar. Há uma boa razão pela qual essa não é a solução.

Certificados SSL gratuitos são essenciais nos dias de hoje. Como o pesquisador de segurança Scott Helme sabe muito bem, eles tiveram um efeito profundo na porcentagem de conteúdo que é veiculado com segurança e tiveram um papel significativo em tornar a Internet um local mais seguro em geral.

Os fornecedores de navegadores estão tentando incentivar ainda mais operadores de sites a veicular seu conteúdo por HTTPS, e é por isso que o tão discutido ícone de cadeado verde pode realmente estar saindo. As páginas seguras terão indicadores visuais menores ou inexistentes, e os sites que são servidos via HTTP serão rotulados como "Não seguros". Isso também contribuirá para eliminar a noção de que uma trava verde é um indicador de uma página confiável.

Os desenvolvedores de navegadores perceberam, com razão, que é nisso que devemos nos concentrar. Quando chegam a uma página, as pessoas não devem ver o HTTPS como um recurso de segurança. Eles devem começar a aceitá-lo como norma. E, para evitar ataques de phishing, você precisa confiar em outras técnicas, como verificar novamente o URL antes de inserir qualquer credencial de login e ficar um pouco menos satisfeito com os links que recebe por e-mail ou outros canais de comunicação.

Por Duran
February 13, 2020
News
Portuguese
February 13, 2020
News

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.