Sites fraudulentos quebram protocolos de segurança da internet

Uma das principais dicas de especialistas para ajudar consumidores a evitar lojas virtuais fraudulentas é checar se na barra de endereços do browser aparece o protocolo HTTPS e um cadeado verde. Acontece que 35% desses e-commerces criminosos já conseguem quebrar o protocolo e mostrar o cadeado ao consumidor, mesmo sendo uma fraude.

Essa é a conclusão da consultoria APWG, especializada em segurança virtual. Segundo a empresa, ao fim de 2016, apenas 5% desses sites, que têm por objetivo praticar fraudes financeiras e roubar dados pessoais de consumidores, utilizavam o cadeado. Ao fim do primeiro semestre desse ano, esse porcentual subiu para 35%.

Os fraudadores estão investindo em criar sites com esses protocolos justamente porque os browsers estão alertando seus usuários a evitar lojas que não tenham o certificado de segurança SSL. Em julho, o Google passou a rotular esses sites como não seguros no Chrome.

“Esperamos que esse uso de indicadores negativos para apontar sites que não obtiveram certificados SSL legítimos resulte em um salto acentuado no número de sites HTTPS, resultando em um provável surto de sites de ‘phishing’ HTTPS a serem observados no terceiro trimestre”, diz Crane Hassold, diretor de segurança da PishiLabs, empresa que realizou o levantamento junto da APWG.

O certificado SSL significa que o site que o usuário está utilizando é criptografado. Isso impede que um terceiro intercepte as informações trocadas entre o computador do usuário e o servidor onde está hospedado o site. No entanto, quando o próprio site é malicioso, seja uma loja falsa, imitando uma de verdade, ou uma diferente, mas que tenha o objetivo único de praticar phishing, é fácil para programadores conseguirem o certificado.

‘Phishing’, um trocadilho com o verbete pesca em inglês, é a prática de cybercriminosos que buscam roubar informações de usuários a partir de uma isca, seja uma promoção ou um link malicioso no e-mail.

“Embora os criadores de ameaças de phishing continuem a explorar vulnerabilidades em sites HTTPS legítimos, eles provavelmente também hospedarão mais conteúdo de phishing em domínios registrados maliciosamente e obterão certificados SSL acessíveis de forma fácil e gratuita para que seus sites pareçam mais legítimos e estejam livres de indicadores negativos de navegador”, continua.

A consultoria também culpa os órgãos certificadores pela confusão. Recentemente, diz a APWG em seu relatório, muitos sites receberam a certificação, um indicativo de que os órgãos estão liberando o protocolo com maior facilidade. Um dado trazido pela consultoria é que 66% dos sites acessados por meio do browser Firefox tinham o protocolo HTTPS ao fim de 2017, enquanto que um ano antes, este porcentual estava em 45%.

“Quanto mais websites conquistarem certificados SSL, maior será o número de potenciais sites de phishing com esse protocolo devido ao aumento comprometido”, aponta.