Fala-se muito sobre canais seguros, “cadeado de segurança”, “https” no navegador, SSL e TLS, mas o que isso significa?
Por Laila Robak*
Um dos pontos discutidos no VI Congresso Fecomercio de Crimes Eletrônicos realizado esta semana em São Paulo, foi a divulgação de informações sensíveis na web através de canais não seguros, gerando interceptação de informações e o uso criminoso ou malicioso das mesmas.
Isso ocorre devido à ausência da educação digital em relação ao uso da web, por isso, eu resolvi escrever este artigo, com um teor mais educacional para os usuários web de maneira geral. A minha intenção é de ajudar os usuários comuns a identificarem seus canais de comunicação e a segurança dos mesmos antes de enviarem informações sensíveis (dados de cartões de crédito, CPF, ID, etc).
No Brasil, o comércio eletrônico está em crescimento constante. De acordo com o relatório Webshoppers 2015 da E-bit[1], o comércio eletrônico brasileiro faturou R$35.8 Bilhões em 2014, um crescimento de 24% em relação a 2013, com uma estimativa de 20% de crescimento em 2015. Infelizmente, os riscos de fraudes eletrônicas são proporcionais ao aumento do e-commerce, e a quantidade de ataques vem se intensificando, e tomando diferentes formatos: pop-ups que levam à páginas forjadas; páginas clonadas; manipulação de boletos bancários; entre muitos outros.
Então, como se proteger visto que transações eletrônicas estão se tornando cada vez mais comuns, além de serem bem mais convenientes? Nós temos escutado muito a respeito do “cadeado de segurança” e o “https” no navegador, mas o que isso significa?
Isso significa que o website está sendo protegido por um certificado chamado SSL e TLS, e que as informações enviadas através daquela página estão sendo criptografadas, ou seja, codificadas, assim as mesmas estarão transitando na rede de maneira protegida, e não estarão expostas, até chegarem ao seu destino final.
No entanto, ensinar aos usuários a confiarem apenas na presença do certificado SSL e TLS significa ensiná-los a confiar na criptografia, ao invés de na identidade.
Tendo isso vista, muitos sites forjados e tentativas de ataques ocorrem através de websites contendo certificados SSL e TLS que chamamos de domínio, onde não há a verificação da identidade da empresa.
Empresas que têm páginas onde há a entrada de informações sensíveis deveriam assegurar seus usuários de sua identidade, assim, os mesmos saberão não somente que suas informações estão transitando de maneira segura, mas também para quem eles estão enviando essas informações. Para saber se a identidade da empresa foi verificada na emissão do certificado, existem algumas opções rápidas e que podem ajudá-lo a salvar suas informações.
Se ao acessar um website a barra de endereços do navegador torna-se verde e exibe a Razão Social da empresa, isso significa que a empresa passou por um processo restrito de verificação de identidade, conhecido como validação estendida (EV), permitindo assim que o navegador exiba seu nome de maneira transparente para os usuários na barra de endereços, passando o maior nível de confiança, conforme o exemplo abaixo (note que estamos usando o Google Chrome nas imagens, as imagens variam de acordo com o servidor utilizado
Em websites onde não há a presença da barra de navegação verde, o usuário poderá inspecionar o Selo de Segurança.
O Selo de segurança é um pequeno ícone que as empresas podem instalar em suas páginas, e que apenas funciona na presença do certificado SSL e TLS, ele contém todas as informações da empresa que foram verificadas, e têm um teor informacional para os usuários finais. Recomendamos fortemente às empresas que sempre instalem o Selo de Segurança em suas páginas públicas.
Tenha cuidado, alguns hackers utilizam imagens do Selo para fingir proteção, lembre-se que o Selo é dinâmico e ao clicar no mesmo uma página abrirá com as informações do certificado (conforme a imagem abaixo).
O Selo varia de acordo com a empresa provedora, mas geralmente possui a palavra SSL ou a imagem de um cadeado. Abaixo um exemplo de Selo e da tela de informações. Caso você queira visualizar a barra verde e um Selo em ação, você pode acessar a nossa página: www.globalsign.com , o Selo encontra-se na parte inferior direita da página.
Selo
Tela de informações
Se o Selo de Segurança não estiver instalado na página, mas o certificado SSL/TLS estiver presente, você pode inspecionar o certificado seguindo os passos a seguir. Se a empresa passou por um processo de verificação de identidade, o campo “O” terá atribuído como valor o nome de sua Razão Social.
As opções variam um pouco de acordo com o navegador.
– Clique no cadeado de segurança ativado no navegador
– Clique em Informações do certificado
– Clique na Aba “Details” e opção “Subject”
Isso não significa que páginas contendo certificados de domínio, que não tenham passado pela verificação da identidade, pertençam a empresas que não são de confiança. Muitas empresas pequenas e empresas onde não há o trafego de informações sensíveis, utilizam o certificado de domínio, como é o caso da nossa submarca AlphaSSL, por exemplo, a qual o certificado está demonstrado abaixo (Note que não há o campo “O”).
Infelizmente, devido à facilidade de emissão desses certificados, os hackers se aproveitam da falta de educação digital quanto à ataques e prevenções e usam os mesmos como ferramentas para seus ataques. Use cautela ao enviar informações sensíveis através de páginas cuja identidade da empresa não foi verificada.
Note que no website AlphaSSL (www.alphassl.com), ao clicar no botão de comprar ou no botão de login, o usuário é direcionado à páginas contendo o certificado de Validação Estendida (barra verde), pois assim o mesmo terá maior confiança e estará mais confortável em enviar dados sensíveis, sabendo para quem os dados estão sendo enviados.
Para agregar uma camada extra de segurança, a GlobalSign tem em seus certificados o monitoramento de Phishing, realizado pela Netcraft, que envia alertas caso quaisquer de nossos certificados, incluindo os de domínio, sejam flagrados com comportamento de phishing (roubo de informações), levando à revogação dos mesmos.
Infelizmente, existem empresas de baixo custo no mercado que não oferecem camadas extras de proteção, o que facilita a emissão de certificados por hackers, por isso, caso você não conheça a empresa ou o website, ou note algo suspeito, vale a pena levar 5 minutos e verificar a identidade da mesma.
Além do certificado SSL e TLS, os navegadores possuem alertas de segurança que auxiliam no combate contra ataques cibernéticos.
Preste atenção nesses alertas, pois ao clicar no botão de ignorar e prosseguir, você pode estar permitindo que um hacker tenha acesso a suas informações, é como se um criminoso batesse à sua porta e você a abrisse para ele entrar em sua casa. A segurança eletrônica hoje em dia é tão importante quanto à segurança física. Como diz o ditado popular “É melhor prevenir, do que remediar”.
Fique atento ao próximo artigo sobre segurança de comunicações e e-mails.
* Laila Robak – Director Latin America & Caribbean at GlobalSign
SSL (Secured Sockets Layer) e TLS (Transport Layer Security)