Fraude Segura
Por tempos ouvimos de “especialistas” em segurança a famosa frase:
sempre antes de fornecer seus dados verifique se o site tem https e o cadeadinho verde.
Mas estamos em 2019 e essa informação já não basta para falar se site X ou Y é seguro, quanto mais sites com “cadeadinho verde” mais phishings com certificado SSL no processo. E chamo isso de fraude segura.
O ícone de cadeado carregou muito mais peso anos atrás, e para obter um certificado SSL / TLS foi um processo mais difícil, mas esses certificados agora são gratuitos e podem ser adquiridos por qualquer pessoa. Os invasores estão cada vez mais se certificando de que seus sites de phishing tenham certificados autênticos para imitar sites legítimos.
Stu Sjouwerman (CEO knowbe4 )
Devemos modificar nossa visão de como olhar um possível site malicioso, o fato de ter um https ou famoso selo (site blindado) não diz nada.
surfando nos https |
Hoje o https virou uma grande aliada para fraudadores no quesito criar uma sensação de segurança em sua técnica de engenharia social Assim como erros de pt-br ficou por terra na argumentativa de identificar uma pagina falsa, o https já não é o grande protetor dos 7 mares da internet.
FBI dando update em algumas recomendações:
Seguindo essa ideia e se atualizando o The FBI’s Internet Crime Complaint Center (IC3) publicou uma nota informando que invasores estão explorando a confiança das pessoas em sites que usam HTTPS.
Cyber Actors Exploit ‘Secure’ Websites In Phishing Campaigns
Websites with addresses that start with “https” are supposed to
provide privacy and security to visitors. After all, the “s” stands for
“secure” in HTTPS: Hypertext Transfer Protocol Secure. In fact, cyber
security training has focused on encouraging people to look for the lock
icon that appears in the web browser address bar on these secure sites.
The presence of “https” and the lock icon are supposed to indicate the
web traffic is encrypted and that visitors can share data safely.
Unfortunately, cyber criminals are banking on the public’s trust of
“https” and the lock icon. They are more frequently incorporating
website certificates—third-party verification that a site is secure—when
they send potential victims emails that imitate trustworthy companies
or email contacts. These phishing schemes are used to acquire sensitive
logins or other information by luring them to a malicious website that
looks secure.
Recommendations:
The following steps can help reduce the likelihood of falling victim to HTTPS phishing:
- Do not simply trust the name on an email: question the intent of the email content.
- If
you receive a suspicious email with a link from a known contact,
confirm the email is legitimate by calling or emailing the contact; do
not reply directly to a suspicious email. - Check for misspellings or wrong domains within a link (e.g., if an address that should end in “.gov” ends in “.com” instead).
- Do not trust a website just because it has a lock icon or “https” in the browser address bar.
Victim Reporting
The
FBI encourages victims to report information concerning suspicious or
criminal activity to their local FBI field office, and file a complaint
with the IC3 at www.ic3.gov. If your complaint pertains to this particular scheme, please note “HTTPS phishing” in the body of the complaint.
Resumindo: Não confie em um site apenas porque ele tem um ícone de cadeado ou “https” na barra de endereços do navegador, pois em casos de fraude no maximo seus dados vão trafegar de forma segura no servidor mailicioso.
REFS:
- https://www.ic3.gov/media/2019/190610.aspx
- https://blog.axur.com/pt/phishing-pode-se-esconder-atras-do-https
- https://olhardigital.com.br/fique_seguro/noticia/sites-falsos-estao-exibindo-o-cadeado-verde-para-enganar-usuarios/80195
- https://medium.com/security-thoughts/https-medium-com-ajazevedo-site-falso-nao-tem-o-cadeado-c8af3cafe1b1
- https://www.oficinadanet.com.br/seguranca/24343-atencao-metade-dos-sites-de-phishing-apresenta-cadeado-de-seguranca
- https://olhardigital.com.br/fique_seguro/noticia/o-que-e-para-que-serve-e-como-funciona-o-cadeado-verde-no-seu-navegador/65866