Últimas notícias

Fique informado

Além do cadeado: aprenda passo a passo como identificar sites falsos e não cair em golpes

11 de fevereiro de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

“Para evitar fraudes, o uso de certificados TLS para proteger e identificar sites se expandiu drasticamente na Internet”

Por Dean Coclin

Dean Coclin – Diretor Sênior de Desenvolvimento de Negócios da Digicert

Roubo de senhas de streamings, redes sociais, WhatsApp falso, notícias falsas sobre Covid-19 e a vacina, golpes e ataques de ransomware mais sofisticados são algumas das principais ameaças às quais os usuários estão expostos.

Não é novidade: a tecnologia facilitou a rotina das pessoas, especialmente com a pandemias. Hoje precisa sair de casa para fazer um pagamento, fazer compras ou mesmo ir a uma reunião. A Internet se tornou um universo à parte, cheio de transações. Porém, aproximadamente 11% dos usuários brasileiros da rede mundial de computadores já perderam dinheiro com esquemas fraudulentos.

É resultado de pesquisa da Confederação Nacional dos Lojistas (CNDJ) e do Serviço de Proteção ao Crédito (SPC) em parceria com o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae).

Para evitar fraudes, o uso de certificados TLS para proteger e identificar sites se expandiu drasticamente na Internet. Isso foi impulsionado por navegadores que mostram indicadores negativos para sites não https, incentivando os sites a usar TLS.

São três os tipos de certificados TLS: Validação de Domínio (DV), Validação de Organização (OV) e Validação Estendida (EV). Entendas as diferenças entre eles:

● Certificado de Validação de Domínio: eles são verificados em um registro de domínio para provar a propriedade do domínio do site. No entanto, os certificados DV não oferecem informações de identificação organizacional. Portanto, não é recomendado usar certificados DV para fins comerciais.

● Certificado de Validação de Organização: para receber um certificado OV, as organizações são autenticadas pela CA (Autoridade Certificadora) em bancos de dados de registro de negócios hospedados por governos. As CAs podem exigir certos documentos e contato pessoal para garantir que os certificados OV contenham informações comerciais legítimas. Este é o tipo de certificado padrão exigido em um site comercial ou público.

● Certificado de Validação Estendida:  eles contêm etapas de validação adicionais e oferecem o mais alto nível de autenticação para proteger sua marca e seus usuários. Embora nem todo site na web use certificados EV, eles são usados ​​pelas principais organizações do mundo para garantir a confiança do usuário.

Mais da metade dos 400 principais sites de comércio eletrônico usam EV, de acordo com dados de 2019 da Comscore e Netcraft. Eles descobriram que mudar de certificados OV para EV aumenta as transações online e melhora a confiança do cliente. Em todos os casos, a criptografia é fornecida entre o navegador e o servidor.

No entanto, a criptografia não fornece autenticação. Sabemos que o navegador está criptografando dados para algum servidor com um nome de domínio verificado. Mas não sabemos nada sobre esse domínio com um certificado DV. Com OV e EV, recebemos mais informações sobre o domínio, incluindo a localização da empresa (OV), e ainda mais detalhes com EV.

Olhando além da fechadura dos sites

Com o advento de uma web que é mais de 90% criptografada e com navegadores mostrando um cadeado sólido para todos os sites https, independentemente do tipo de certificado, é uma falácia apenas “procurar o cadeado”, pois isso é insuficiente para proteger os usuários de sites fraudulentos.

Os usuários devem ser diligentes em procurar pistas sobre a identidade do site. Com certificados EV, você deve clicar no cadeado para ver o nome legal da empresa. Isso fornece excelente visibilidade de que o site foi autenticado.

Outra pista a procurar é o nome da Autoridade de Certificação (CA) que emitiu o certificado do site. Com alguns navegadores, os usuários podem passar o mouse sobre o bloqueio para ver o nome da CA.

Se o indicador disser “Verificado pelo DigiCert”, você pode ter certeza de que a identificação do site foi verificada de acordo com os requisitos da indústria. CAs líderes, como DigiCert, estão constantemente atualizando os padrões globais pelos quais CAs validam identidades e seguem processos rigorosos.

Os certificados OV e EV requerem algum esforço para serem obtidos. Primeiro, a entidade solicitante deve ser uma organização válida e a CA deve examinar os registros públicos para autenticá-la. Como isso envolve trabalho manual, há um custo associado à aquisição do certificado.

Normalmente, não são obstáculos para organizações legítimas. Mas, para os cibercriminosos, eles fornecem um atrito significativo, que pode ser evitado com a obtenção de um certificado DV. Conseqüentemente, o DV se tornou o certificado preferido de hackers e criminosos.

Uma pesquisa recente mostrou que quase metade dos sites de phishing agora têm o cadeado. Na maioria das vezes, os certificados DV são obtidos com facilmente para esses sites. Os hackers sabem que podem solicitar DV automaticamente sem fornecer nenhuma informação pessoal e são oferecidos gratuitamente por algumas CAs.

Assim, hackers obtém certificados de fornecedores conhecidos de certificados gratuitos ou de baixo custo, com pouca ou nenhuma validação realizada. Dada a fácil disponibilidade desses certificados, não é de admirar que os cibercriminosos estejam adotando DV para legitimar seus sites.

Não se esqueça do básico

O que os consumidores podem fazer para reconhecer sites fraudulentos? São três as palavras: examine, examine e examine.

1. Embora no passado fosse normal apenas procurar a fechadura, agora a fechadura deve ser examinada. Passe o mouse sobre o bloqueio para ver qual CA emitiu o certificado. Se for DigiCert, você pode ter certeza de que o site foi verificado de acordo com os padrões da indústria e que, no caso de um certificado OV ou EV, a identidade do proprietário do site foi examinada para proteção adicional.

2. Observe atentamente a barra de endereço e leia o endereço com atenção. É o que você espera?

3. Clique no cadeado para revelar informações adicionais sobre o site. Se estiver usando um certificado EV, o nome da empresa será identificado imediatamente após clicar no cadeado.

Mas e se o site estiver usando um certificado DV? Isso significa que não é confiável? Não, não necessariamente. Novamente, tome cuidado ao examinar os itens acima. Milhões de sites usam DV e é perfeitamente adequado para muitas aplicações. Mas as transações financeiras / de e-commerce não são uma delas.

Empresas de hospedagem de sites também estão na mira dos ataques de ransomware

Dean Coclin, da DigiCert, em entrevista sobre segurança em websites

Sobre a DigiCert, Inc.

DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas.

DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®.

A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.

Vacina contra a Covid-19: sites fraudulentos simulam cadastro para roubar dados pessoais, alerta Kaspersky