Metade dos sites falsos usa cadeado de segurança para enganar usuários

Dados da empresa de segurança PhishLabs mostram que golpistas apelam para o pequeno cadeado para passar uma ideia de legitimidade em sites falsos

São Paulo — O bom e velho cadeado fechado que aparece na barra de endereços não é mesmo uma garantia de proteção. Um estudo da empresa de segurança norte-americana PhishLabs revelou que 49% dos sites maliciosos detectados por ela contam com um certificado para servidor SSL/TLS, que garante o tal ícone ao lado do nome do site.

O dado foi divulgado pelo especialista em segurança Brian Krebs. Segundo ele, aquela dica de procurar pelo cadeado na barra de endereços para identificar a página legítima e protegida de uma loja, por exemplo, “nunca foi tão inútil”. O problema é que muitas pessoas ainda acreditam cegamente no poder do ícone — mais precisamente 80% dos usuários ouvidos em uma outra pesquisa da PhishLabs, do ano passado, como lembrou Krebs.

Essa estratégia é usada especialmente em ataques de phishing, que sites falsos similares aos originais para roubar dados de vítimas. Os golpistas conseguem colocar um cadeado nos endereços porque criam os próprios certificados na hora de registrar o domínio criminoso. E, aparentemente, fazem isso com cada vez mais facilidade: há um ano, o percentual de sites falsos com HTTPS ainda estava na casa dos 25%.

Mas ainda que não seja uma garantia de proteção, o cadeado está longe de ser inútil. Ele de fato indica que o site tem uma camada extra (e muito importante) de segurança.

Uma página com o certificado SSL criptografa toda a comunicação entre o dispositivo do usuário e o servidor. Dessa forma, um eventual bisbilhoteiro invadindo uma rede Wi-Fi, por exemplo, não consegue interceptar informações sensíveis enviadas ao site, como número de cartão de crédito. Por isso, a dica para não digitar dados pessoais e financeiros em endereços sem o cadeado ainda é válida, porque ao menos evita que o tráfego fique tão exposto.

Para não cair em golpes mais sofisticados, no entanto, a sugestão mais valiosa é sempre prestar muita atenção. Antes de informar seus dados, desconfie de sites que pedem muitas informações sensíveis. Lembre-se que bancos nunca solicitam dados por e-mail ou mensagem.

Se a página for de alguma empresa conhecida, também vale conferir duas vezes o endereço, copiando e colando-o em um editor de texto, se necessário. Às vezes, a diferença entre a URL falsa e a original é mínima. Por fim, manter o navegador atualizado ajuda bastante, já que eles mesmos conseguem muitas vezes identificar endereços falsos, com base em bancos de dados atualizados mantidos organizações de segurança.