O FBI emitiu uma advertência, alertando os usuários da web que “os ciberdelinquentes exploram os sites web ‘seguros’ nas campanhas de phising”, pois o protocolo seguro de transferência de hipertexto (ou HTTPS) se transformou em “sinônimo de segurança”. Sim, mas existem algumas linhas miúdas que precisam ser lidas com atenção.
A presença do HTTPS e do ícone do cadeado supostamente indicam que o tráfego web está codificado, e que os visitantes podem compartilhar dados de forma segura. E, na prática, é isso mesmo: navegadores como o Google Chrome mostram o aviso de “não seguro” quando são acessados sites HTTP. É importante garantir que os sites com as quais você compartilha informações contam com esse protocolo, indicando uma conexão cifrada e segura, mas isso não é tudo o que você precisa levar em consideração. Isso não garante, por exemplo, que um servidor é o que diz ser.
HTTPS não é a panaceia
Nem o HTTPS, nem os males da internet, infelizmente.
Por isso, o FBI observa que os cibercriminosos se valem da confiança dos usuários no protocolo e nos ícones que o identifica. Eles fazem isso utilizando com mais e maior frequência certificados de sites web seguros na hora de aplicar as suas campanhas de phishing. Utilizam o protocolo seguro de transferência de hipertexto na hora de enviar para as potenciais vítimas de mensagens de e-mail que imitam empresas ou contatos de confiança.
O motivo é que está cada vez mais fácil obter um certificado de segurança TLS que habilita ao administrador de um site a utilizar o protocolo HTTPS normalmente. Tem um custo baixo e até gratuito, através de outros serviços específicos, especialmente depois do impulso que o Google deu para esse protocolo através da consideração dada tanto na ferramenta de busca como no navegador Chrome. Uma tendência que foi abraçada por outros navegadores.
Já para os usuários, só resta a dica de não confiar de cara nos sites HTTPS ou em e-mails enviados a partir deles, além de adotar uma postura mais crítica com os dados que um site pode solicitar. Confirme a legitimidade das petições enviadas por e-mail se os dados que se pedem são especialmente sensíveis e, como sempre, serem precavidos na medida do possível.
Via FBI