Últimas notícias

Fique informado

Além do cadeado: aprenda passo a passo como identificar sites falsos e não cair em golpes

11 de fevereiro de 2021

Spotlight

PL 317/21: Plenário aprova criação do Governo Digital

O PL 317/2021, conhecido como o do Governo Digital segue agora para sanção presidencial.

26 de fevereiro de 2021

Qual é o valor legal de uma assinatura eletrônica?

No passado, muitas pessoas relutavam em usar documentos ou assinatura eletrônica, questionando sua validade legal e a capacidade de usá-los como evidência ​​em processos judiciais ou demais contextos jurídicos

25 de fevereiro de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Assinatura Eletrônica nos contratos e em outros atos jurídicos

“A assinatura eletrônica decorrente de certificados emitidos no âmbito do ICP-Brasil é eficaz para qualquer ato jurídico por força do art. 10 da MP 2.200-2/2001”

23 de fevereiro de 2021

Mergulhando e Navegando no Submundo da Deep Web

Deep Web (dark web, deepnet, invisible net, undernet, ou hidden web) refere-se a qualquer rede fechada que compreende um grupo privado de pessoas, que querem se comunicar.

25 de julho de 2016

“Para evitar fraudes, o uso de certificados TLS para proteger e identificar sites se expandiu drasticamente na Internet”

Por Dean Coclin

Dean Coclin – Diretor Sênior de Desenvolvimento de Negócios da Digicert

Roubo de senhas de streamings, redes sociais, WhatsApp falso, notícias falsas sobre Covid-19 e a vacina, golpes e ataques de ransomware mais sofisticados são algumas das principais ameaças às quais os usuários estão expostos.

Não é novidade: a tecnologia facilitou a rotina das pessoas, especialmente com a pandemias. Hoje precisa sair de casa para fazer um pagamento, fazer compras ou mesmo ir a uma reunião. A Internet se tornou um universo à parte, cheio de transações. Porém, aproximadamente 11% dos usuários brasileiros da rede mundial de computadores já perderam dinheiro com esquemas fraudulentos.

É resultado de pesquisa da Confederação Nacional dos Lojistas (CNDJ) e do Serviço de Proteção ao Crédito (SPC) em parceria com o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae).

Para evitar fraudes, o uso de certificados TLS para proteger e identificar sites se expandiu drasticamente na Internet. Isso foi impulsionado por navegadores que mostram indicadores negativos para sites não https, incentivando os sites a usar TLS.

São três os tipos de certificados TLS: Validação de Domínio (DV), Validação de Organização (OV) e Validação Estendida (EV). Entendas as diferenças entre eles:

● Certificado de Validação de Domínio: eles são verificados em um registro de domínio para provar a propriedade do domínio do site. No entanto, os certificados DV não oferecem informações de identificação organizacional. Portanto, não é recomendado usar certificados DV para fins comerciais.

● Certificado de Validação de Organização: para receber um certificado OV, as organizações são autenticadas pela CA (Autoridade Certificadora) em bancos de dados de registro de negócios hospedados por governos. As CAs podem exigir certos documentos e contato pessoal para garantir que os certificados OV contenham informações comerciais legítimas. Este é o tipo de certificado padrão exigido em um site comercial ou público.

● Certificado de Validação Estendida:  eles contêm etapas de validação adicionais e oferecem o mais alto nível de autenticação para proteger sua marca e seus usuários. Embora nem todo site na web use certificados EV, eles são usados ​​pelas principais organizações do mundo para garantir a confiança do usuário.

Mais da metade dos 400 principais sites de comércio eletrônico usam EV, de acordo com dados de 2019 da Comscore e Netcraft. Eles descobriram que mudar de certificados OV para EV aumenta as transações online e melhora a confiança do cliente. Em todos os casos, a criptografia é fornecida entre o navegador e o servidor.

No entanto, a criptografia não fornece autenticação. Sabemos que o navegador está criptografando dados para algum servidor com um nome de domínio verificado. Mas não sabemos nada sobre esse domínio com um certificado DV. Com OV e EV, recebemos mais informações sobre o domínio, incluindo a localização da empresa (OV), e ainda mais detalhes com EV.

Olhando além da fechadura dos sites

Com o advento de uma web que é mais de 90% criptografada e com navegadores mostrando um cadeado sólido para todos os sites https, independentemente do tipo de certificado, é uma falácia apenas “procurar o cadeado”, pois isso é insuficiente para proteger os usuários de sites fraudulentos.

Os usuários devem ser diligentes em procurar pistas sobre a identidade do site. Com certificados EV, você deve clicar no cadeado para ver o nome legal da empresa. Isso fornece excelente visibilidade de que o site foi autenticado.

Outra pista a procurar é o nome da Autoridade de Certificação (CA) que emitiu o certificado do site. Com alguns navegadores, os usuários podem passar o mouse sobre o bloqueio para ver o nome da CA.

Se o indicador disser “Verificado pelo DigiCert”, você pode ter certeza de que a identificação do site foi verificada de acordo com os requisitos da indústria. CAs líderes, como DigiCert, estão constantemente atualizando os padrões globais pelos quais CAs validam identidades e seguem processos rigorosos.

Os certificados OV e EV requerem algum esforço para serem obtidos. Primeiro, a entidade solicitante deve ser uma organização válida e a CA deve examinar os registros públicos para autenticá-la. Como isso envolve trabalho manual, há um custo associado à aquisição do certificado.

Normalmente, não são obstáculos para organizações legítimas. Mas, para os cibercriminosos, eles fornecem um atrito significativo, que pode ser evitado com a obtenção de um certificado DV. Conseqüentemente, o DV se tornou o certificado preferido de hackers e criminosos.

Uma pesquisa recente mostrou que quase metade dos sites de phishing agora têm o cadeado. Na maioria das vezes, os certificados DV são obtidos com facilmente para esses sites. Os hackers sabem que podem solicitar DV automaticamente sem fornecer nenhuma informação pessoal e são oferecidos gratuitamente por algumas CAs.

Assim, hackers obtém certificados de fornecedores conhecidos de certificados gratuitos ou de baixo custo, com pouca ou nenhuma validação realizada. Dada a fácil disponibilidade desses certificados, não é de admirar que os cibercriminosos estejam adotando DV para legitimar seus sites.

Não se esqueça do básico

O que os consumidores podem fazer para reconhecer sites fraudulentos? São três as palavras: examine, examine e examine.

1. Embora no passado fosse normal apenas procurar a fechadura, agora a fechadura deve ser examinada. Passe o mouse sobre o bloqueio para ver qual CA emitiu o certificado. Se for DigiCert, você pode ter certeza de que o site foi verificado de acordo com os padrões da indústria e que, no caso de um certificado OV ou EV, a identidade do proprietário do site foi examinada para proteção adicional.

2. Observe atentamente a barra de endereço e leia o endereço com atenção. É o que você espera?

3. Clique no cadeado para revelar informações adicionais sobre o site. Se estiver usando um certificado EV, o nome da empresa será identificado imediatamente após clicar no cadeado.

Mas e se o site estiver usando um certificado DV? Isso significa que não é confiável? Não, não necessariamente. Novamente, tome cuidado ao examinar os itens acima. Milhões de sites usam DV e é perfeitamente adequado para muitas aplicações. Mas as transações financeiras / de e-commerce não são uma delas.

Empresas de hospedagem de sites também estão na mira dos ataques de ransomware

Dean Coclin, da DigiCert, em entrevista sobre segurança em websites

Sobre a DigiCert, Inc.

DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas.

DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®.

A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.

Vacina contra a Covid-19: sites fraudulentos simulam cadastro para roubar dados pessoais, alerta Kaspersky

Content Syndication

Content syndication – distribuição de conteúdo é um método de republicar conteúdo desenvolvido por sua empresa em outros sites para atingir um público mais amplo e levar novos visitantes a seu site. Fale conosco sobre Content Syndication, contato@cryptoid.com.br | +55 11 3881 0019.

Surpreenda-se com a qualificação da nossa audiência! Mídia Kit.