HTTPS: entenda por que ele, sozinho, não simboliza segurança o suficiente
Os mais jovens podem nem sequer acreditar, mas houve uma época em que era fácil identificar se você estava navegando em um site seguro ou não: bastava conferir se a barra de endereços do navegador apresentava o icônico símbolo do cadeado verde, representação visual de que aquela página era protegida pelo Hyper Text Transfer Protocol Secure (HTTPS). O HTTPS, por sua vez, nada mais é do que uma implementação do protocolo HTTP convencional com a adição de uma camada de criptografia.
A questão era muito simples: sites que trabalham com o HTTPS precisam de um certificado digital do tipo Transport Layer Security (TLS) ou Secure Socket Layer (SSL), que, até alguns anos atrás, só poderiam ser emitidos por instituições certificadoras de prestígio e para quem pudesse pagar por tal diferencial. Isso garantia que o site da empresa X realmente pertencesse à empresa X. Para o usuário final, restava a tranquilidade de saber que, graças ao HTTPS, o tráfego de dados entre a sua máquina e o servidor final eram protegidos por criptografia.
Contudo, os tempos mudaram. O mercado começou a estabelecer o uso do HTTPS como um padrão, e, com isso, o acesso aos certificados TLS/SSL também se tornou muito mais fácil. Afinal, seria injusto a web avançar para um patamar que impedisse a liberdade de alguém de colocar no ar um site disponível para todos. Hoje em dia, qualquer internauta consegue gerar um certificado sem desembolsar um centavo sequer, e isso inclui, naturalmente, os criminosos cibernéticos.
Cibercriminosos com certificação
Em 2021, especialistas apontaram que 91,5% dos malwares navegando pela internet estavam sendo entregues por meio de conexões criptografadas com o protocolo HTTPS. Esse número só ressalta que, hoje em dia, não basta procurar pelo “cadeado” para determinar se um site é confiável. Com a popularização das instituições certificadoras gratuitas, um golpista consegue emitir um certificado falso para uma página maliciosa em poucos minutos.
Mais do que simplesmente gerar um certificado aleatório apenas para fazer sua armadilha parecer mais convincente, alguns criminosos conseguem até mesmo roubar os certificados originais do site ou aplicação que se deseja falsificar. Isso pode ser feito com certa facilidade caso o golpista obtenha acesso privilegiado ao servidor no qual o site original se encontra, bastando copiar as chaves criptográficas privadas usadas para assinar o certificado autêntico.
Vale a pena ressaltar que, atualmente, para o cibercriminoso, é muito interessante “gastar tempo” emitindo (ou roubando) certificados para os seus sites maliciosos. Afinal, todos os navegadores já bloqueiam, por padrão, o acesso a sites que não ofereçam esse nível básico de criptografia. Logo, trabalhar com a implementação do HTTPS se tornou crucial para os criminosos garantirem que suas páginas fraudulentas sejam exibidas adequadamente no browser de suas vítimas.
Dicas para se proteger
No fim das contas, fica a lição: não use o HTTPS como único indicativo de que um determinado site é seguro. Lembre-se de sempre prestar atenção aos detalhes: o domínio, ou seja, o endereço da página está correto? É possível encontrar indícios de uma campanha de engenharia social, como mensagens de urgência, ofertas excessivamente tentadoras ou erros tipográficos nos textos?
Vale a pena ressaltar que sempre devemos desconfiar de links recebidos por e-mail ou aplicativos de comunicação. Prefira digitar o endereço do site desejado manualmente no espaço indicado para isso no seu navegador. Por fim, caso se trate de um serviço ou uma loja virtual “inédita”, procure por recomendações (ou eventuais reclamações) de outros internautas antes de fechar negócio.