{"id":10049,"date":"2018-01-31T15:32:19","date_gmt":"2018-01-31T18:32:19","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10049"},"modified":"2020-02-26T13:25:32","modified_gmt":"2020-02-26T16:25:32","slug":"https-does-not-mean-safe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/https-does-not-mean-safe\/10049\/","title":{"rendered":"HTTPS n\u00e3o quer dizer seguro"},"content":{"rendered":"

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro \u00e0 esquerda de uma URL, pensam que realmente est\u00e3o em um ambiente protegido. O mesmo vale para \u201cesse site usa uma conex\u00e3o segura\u201d ou URLs que come\u00e7am com as letras \u201chttps\u201d. Cada vez mais sites passam para HTTPSL. A maioria n\u00e3o tem escolha. Mas afinal, qual o problema? Quanto mais medidas de seguran\u00e7a melhor, n\u00e3o \u00e9 mesmo?
\nEstamos prestes a revelar um pequeno segredo: aqueles s\u00edmbolos de \u201cseguran\u00e7a\u201d n\u00e3o garantem que um endere\u00e7o est\u00e1 seguro. Um site de phishing, por exemplo, pode de forma leg\u00edtima exibir esse cadeado verde reconfortante ao lado do endere\u00e7o https. Ent\u00e3o o que est\u00e1 acontecendo? Vamos descobrir.<\/p>\n

Conex\u00e3o segura n\u00e3o significa um site idem<\/strong><\/h3>\n

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informa\u00e7\u00e3o transmitida entre voc\u00ea e a p\u00e1gina. Nesse caso, a URL come\u00e7a com HTTPS, com o \u00faltimo \u201cS\u201d significando \u201cSeguro\u201d.<\/p>\n

Claro, dados transmitidos criptografados s\u00e3o \u00f3timas premissas. Significam que a informa\u00e7\u00e3o trocada entre seu navegador e o site n\u00e3o est\u00e1 ao alcance de terceiros \u2013 provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inser\u00e7\u00e3o de senhas e detalhes de cart\u00e3o de cr\u00e9dito sem olhos curiosos.<\/p>\n

O problema \u00e9 que cadeados verdes e os certificados n\u00e3o dizem nada sobre o site em si. Uma p\u00e1gina de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com voc\u00ea.<\/p>\n

De forma simples, o cadeado simplesmente garante que ningu\u00e9m mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.<\/p>\n

Phishers usam e abusam disso: de acordo com a Phishlabs<\/a>, um quarto dos ataques desse tipo s\u00e3o executados por sites HTTPS (h\u00e1 dois anos, eram menos de 1%). Al\u00e9m disso, mais de 80% dos usu\u00e1rios acreditam<\/a> que a mera presen\u00e7a do s\u00edmbolo significa que o site \u00e9 seguro, o que os leva a n\u00e3o pensar duas vezes antes de inserir seus dados.<\/p>\n

Mas e se o cadeado verde n\u00e3o estiver onde deveria?<\/strong><\/h3>\n

Se a barra de endere\u00e7o n\u00e3o tiver cadeado, significa que o site n\u00e3o usa criptografia, ou seja, troca informa\u00e7\u00e3o com seu navegador por meio de HTTP comum. O Google Chrome come\u00e7ou a rotular tais p\u00e1ginas como inseguras. Embora possam ser leg\u00edtimas, n\u00e3o criptografam tr\u00e1fego entre voc\u00ea e o servidor. A maioria dos propriet\u00e1rios n\u00e3o querem que o Google classifique seus sites como inseguros, de forma que a migra\u00e7\u00e3o para HTTPS \u00e9 quest\u00e3o de tempo. De qualquer forma, digitar dados sens\u00edveis em qualquer ambiente sem o \u201cs\u201d\u00e9 m\u00e1 ideia \u2013 qualquer pessoa mal-intencionada pode estar de olho.<\/p>\n

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas est\u00e1 vencido. Ou seja, a conex\u00e3o entre voc\u00ea e o servidor \u00e9 criptografada, mas n\u00e3o h\u00e1 garantia que o dom\u00ednio de fato pertence a empresa indicada no site. Esse \u00e9 o caso mais suspeito -normalmente tais certificados s\u00e3o usados apenas para testes.<\/p>\n

De maneira alternativa, se o certificado expirou e o propriet\u00e1rio n\u00e3o foi atr\u00e1s de renov\u00e1-lo, navegadores trataram a p\u00e1gina como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indica\u00e7\u00e3o para evit\u00e1-los -a preocupa\u00e7\u00e3o deve ser duplicada se pensar em digitar dados pessoais.<\/p>\n

Como n\u00e3o cair em uma armadilha?<\/strong><\/h3>\n

Para resumir, a presen\u00e7a do certificado e do cadeado verde significam apenas que a transmiss\u00e3o entre voc\u00ea e o site est\u00e1 criptografada, e o certificado foi emitido por uma autoridade confi\u00e1vel. Entretanto, isso n\u00e3o previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.<\/p>\n

Portanto, fique ligado, n\u00e3o importa se a primeira impress\u00e3o sobre o site parece segura.<\/p>\n