PUBLICIDADE
Topo

Sabe o cadeado na barra de endereço? Ele não significa que você está seguro

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Rodrigo Lara

Colaboração para Tilt

07/02/2020 04h00

A ideia que um objeto como o cadeado passa é a de segurança —afinal, ele funciona com uma trava, uma proteção. Não estaria errado supor, portanto, que esse cadeadinho que aparece na barra de endereço do seu navegador significaria que você está seguro, certo? Mas, na realidade, só significa que a página acessada possui um certificado de segurança.

De acordo com Fábio Assolini, analista sênior de cibersegurança da Kaspersky, o cadeado indica que o conteúdo da página e os dados que nela serão inseridos 'viajaram' de forma segura entre o servidor web, onde está o site, e o seu computador. Esse tráfego seguro significa que os dados usam criptografia nesse trajeto, utilizando protocolos como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security).

O problema é que, se o cadeado ao menos em tese garante que correu tudo bem no caminho dos dados, ele é incapaz de garantir que o destino é realmente seguro.

Certificados inúteis?

A existência do cadeado também mostra que há um nível de segurança no site acessado, mas não necessariamente que ele é seguro. "Muitos criminosos estão criando páginas maliciosas com este recurso de criptografia habilitado para torná-las mais verdadeiras", relata Daniel Barbosa, especialista em segurança da informação da ESET no Brasil.

Esses certificados acabaram banalizados. De maneira geral, obter um certificado digital era algo trabalhoso e que demandava tempo, uma vez que as empresas responsáveis pela sua emissão faziam uma checagem mais criteriosa para saber se o solicitante do certificado era realmente quem afirmava ser. Com o passar do tempo, esses certificados acabaram ficando mais baratos, as vendas foram automatizadas e as autoridades de certificação pararam de fazer essa verificação criteriosa.

Como resultado, ficou fácil para cibercriminosos comprarem certificados digitais para usá-los em sites falsos. Na opinião de Assolini, "a coisa só piorou depois que a Let's Encrypt [autoridade de certificação criada em 2016 e que emite certificados de criptografia TLS X.509 gratuitos] começou a distribuir certificados digitais de graça", o que amplificou o uso.

Há ainda uma fragilidade nesse ecossistema de certificados que demanda uma ação mais refinada do fraudador. Além de redirecionar o acesso a sites de bancos, por exemplo, um malwares [programas nocivos] manipula a visualização das páginas e adiciona emissores de certificados confiáveis à lista do navegador. Assim, os criminosos conseguem criar um certificado falso e validar com o navegador, que não emite qualquer mensagem de alerta sobre a segurança da conexão.

Isso quer dizer que as vítimas dos ataques passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nessas páginas, qualquer informação inserida —como senhas e outros dados sensíveis— acaba sendo roubada.

E agora, o que fazer?

Já que você não pode confiar só no cadeadinho, o que resta é se proteger de outras maneiras. Vale adotar uma postura mais defensiva, ou seja, desconfie. Cheque, observe e fique esperto.

Quando o assunto é segurança, é comum citar as VPNs, redes privadas que garantem que os dados não serão roubados em seu trajeto —considerando, claro, se este serviço for prestado por empresas idôneas. Elas garantem que os dados não serão interceptados, mas não são capazes de garantir que o destino deles seja, de fato, seguro.

Então, acima de tudo, preste atenção a sites suspeito, com erros de português e layout estranhos. Observe a URL, seja se há letras estranhas ou fora de contexto—há várias páginas falsas, por exemplo, que se aproveitam de erros de digitação do nome do endereço que seria o correto.

Na dúvida, não clique em links e confira o endereço da URL com as instituições responsáveis pelo site.

SIGA TILT NAS REDES SOCIAIS

Segurança