Como os certificados EV podem ajudar os bancos e titulares de contas a se protegerem de criminosos cibernéticos
Por Dean Coclin
Que a pandemia acelerou a digitalização dos negócios em todo o mundo não é novidade pra ninguém. O problema é que junto com ela aumentou o número de crimes digitais.
No Brasil, o roubo de dados de cartão de crédito e cobrança fraudulenta são os crimes cibernéticos mais comuns desde o início da crise sanitária mundial, como mostra pesquisa realizada pela TransUnion, empresa global de análise de informações.
Os ataques são diferentes de acordo com o público-alvo, mas segundo dados do dfndr, laboratório especializado em segurança digital da PSafe, no Brasil, o número total de cibercrimes ultrapassa dezenas de milhões.
Grande parte dos golpes são feitos por sites falsos que se passam por páginas legítimas de bancos e instituições financeiras, sempre de olho nos dados dos usuários. No mesmo período em 2019, foram registrados no país pouco mais de 7 milhões de ataques de phishing.
Esse tipo de golpe tende a usar indevidamente o nome de grandes bancos para atrair a confiança das vítimas. Além disso, eles geralmente se propagam por meio de links maliciosos e aplicativos falsos.
É importante lembrar as instituições que, mesmo que os usuários tenham caído no golpe por meio de links maliciosos, a situação pode reverter em dano de imagem para a empresa, o que muitas vezes tem um preço inestimável.
Os certificados TLS podem ajudar a resolver o problema
Para evitar golpes, o uso de certificados TLS para criptografar dados e identificar sites se expandiu drasticamente na Internet. Isso foi impulsionado por navegadores que mostram indicadores negativos para sites não https, incentivando os sites a usar TLS. Portanto, é fundamental que as instituições financeiras invistam na utilização de certificados TLS e os correntistas saibam como se proteger.
Há três tipos de certificados TLS, mas a Validação Estendida (EV) adiciona etapas de validação extras e oferece o mais alto nível de autenticação para proteger sua empresa e seus usuários. Embora nem todo site na web use certificados EV, eles são usados pelas principais organizações do mundo para garantir a confiança do usuário.
Em todos os casos, a criptografia é fornecida entre o navegador e o servidor. No entanto, a criptografia não fornece autenticação. Com os certificados EV, sabe-se que o navegador está criptografando dados para algum servidor com um nome de domínio verificado, incluindo a localização da empresa e ainda outros detalhes.
Como identificar um certificado EV
Durante anos, os navegadores usaram uma interface de usuário (IU) quase semelhante para distinguir EV de outros tipos de certificados, o que deu aos usuários uma indicação clara de que o operador do site havia passado por uma forte validação de identidade.
Isso geralmente mostra um cadeado verde seguido do nome da empresa e sua jurisdição ao lado do URL, dependendo do navegador. Muitos pediram uma exibição uniforme para tornar mais fácil para os usuários da web identificar sites EV, mas até o momento, os navegadores decidiram, independentemente uns dos outros, buscar exibições de IU específicas para sua comunidade de navegadores da web.
Em 2021, vários navegadores anunciaram mudanças na IU para certificados EV, exigindo que os usuários olhem além do bloqueio para verificar a identidade de um site.
A autoridade de certificação usa um método de autenticação rigoroso e auditado, e os navegadores controlam a apresentação, tornando difícil para os falsificadores imitar sua marca e imitar seu site online na tentativa de enganar seus clientes.
Veja abaixo como você pode identificar um site verificado em diferentes navegadores:
● Apple Safari: após clicar no cadeado, a última frase indica que este é um certificado EV porque as informações de identidade do site estão lá. O Safari não fornece esse detalhe para outros tipos de certificado.
● Google Chrome: o Chrome moveu a tela para trás da fechadura, o que significa que é necessário clicar na fechadura para ver o nome da empresa (em cinza) junto com a jurisdição de incorporação (entre parênteses). Consulte Se “Emitido para: {Nome da empresa} [Jurisdição]” aparecer em “Certificado (Válido)”, então o site tem um certificado EV.
● Microsoft Edge: o Edge agora é construído sobre o Chromium, então a tela EV é muito semelhante à do Chrome.
● Mozilla Firefox: com o lançamento do Firefox 70, um clique no cadeado mostra o nome da empresa para certificados EV. Um clique adicional no Firefox mostra os detalhes estendidos, permitindo que uma parte confiável verifique o nome e o endereço do site.
O debate sobre a exibição “certa” de EV continua dentro da comunidade, e provavelmente haverá mais mudanças nos próximos anos, o que pode afetar a confiança direta do usuário. Na atual ausência de uma maneira uniforme de mostrar identidade e confiança mais fortes em todos os navegadores da web, os consumidores que navegam na web e outras partes confiáveis precisam saber por si mesmos como olhar além do cadeado para identificar informações sobre a propriedade do site.
Sobre a DigiCert, Inc.
DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas.
DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®. A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!