HTTPS e um cadeado não significa que um site seja seguro

os compradores on-line são frequentemente encorajados a garantir que suas lojas on-line escolhidas sejam “seguras”, que o ‘S’ em HTTPS seja visível e que o navegador da web exiba um símbolo de bloqueio. Propagar esses indicadores visíveis como confirmação da segurança do site não é apenas irresponsável; também é perigoso.

como Brian Krebs recentemente apontou no Krebs sobre segurança, mesmo nos EUA sites governamentais e federais são culpados dessa prática, como se o cadeado garantisse a natureza oficial e segura do site. Não é o caso. O símbolo de bloqueio e o URL relacionado contendo ‘https’ simplesmente significam que a conexão entre o navegador da web e o servidor do site é criptografada. Isso é bom, certo? Sim, uma conexão criptografada é positiva, pelo menos na superfície, e implica um nível elevado de confiança que é supostamente alcançado pelo uso de um certificado SSL.

conforme discutido em um artigo anterior, os próprios certificados SSL vêm em muitas formas, desde esforços DIY usando OpenSSL (você pode até ser sua própria Autoridade de certificação) e gratuitos de Let’s Encrypt até soluções adquiridas de autoridades de certificação ‘reconhecidas’. Ninguém faz nada além de confirmar a propriedade de um domínio e, além de confirmar a criptografia, não confirma as práticas de segurança desse site de forma alguma. Ele confirma que o proprietário do site tem acesso de administrador ao servidor da web e verificou sua identidade de uma forma que varia de acordo com o certificado SSL selecionado.Vamos ilustrar as etapas necessárias que os usuários devem tomar ao decidir se confiam em um site e, em alguns casos, como é fácil para os cibercriminosos contornar os chamados processos de verificação.De acordo com PhishLabs, no último trimestre de 2019, 74% dos sites de phishing relatados eram “seguros”, sendo HTTPS e com o símbolo de bloqueio. Eu poderia terminar este post aqui, tendo provado que ambos os critérios são inúteis em termos de segurança. Mas eu não vou…

HTTPS não significa nada

o único benefício do HTTPS é que ele mais ou menos força as conexões criptografadas online, pois, sem ele, muitos navegadores se recusarão a acessar o site e exibirão um aviso. Se o usuário ainda quiser se conectar ao ‘site inseguro’, é possível, mas o aviso é dado, o que impedirá a maioria dos usuários. Infelizmente, os cibercriminosos não são burros, então a maioria usará criptografia SSL, como mencionado anteriormente. Parabéns, agora você tem uma conexão criptografada direta com o site de um cibercriminoso, projetada especificamente para ataques de phishing, entrega de malware ou outras motivações, como coleta de dados.

domínios não podem ser confiáveis

qualquer pessoa pode configurar um site com custos de hospedagem que variam de grátis (se subdomínios legítimos ou hackeados) e orçamento para servidores dedicados. Alguns domínios são confiáveis mais do que outros, mas como Brian Krebs demonstrou (sim, eu sou um leitor regular) mais uma vez, até mesmo domínios .gov (reservados para organizações governamentais nos EUA.) pode ser facilmente falsificado quando aqueles que procuram o domínio para golpes estão preparados para usar métodos ilegais. O nível de pesquisa Necessário foi mínimo. Estou assumindo que os domínios .mil e. edu são mais robustos, mas quem sabe, certo? Um dos meus próprios domínios usa .com.hk e está disponível apenas para empresas registradas em Hong Kong. Foi uma dor de configurar-exigindo vários e-mails, cópias do meu certificado de registro comercial, conta bancária da empresa, meu passaporte, e detalhes de residência. Mas pelo menos sei que o processo é bom, envolvendo uma verificação cruzada com vários departamentos governamentais. O mesmo não é verdade para .com e outros domínios de nível superior, independentemente da localização. Se alguém pode obter um, como ele pode adicionar confiança a um site?

a verificação Whois é praticamente inútil

para evitar spam, a maioria dos sites esconde informações de contato do site ou, na melhor das hipóteses, fornece apenas contatos gerais. Além disso, o provedor de hospedagem pode estar localizado em qualquer lugar e raramente reflete a localização física do negócio.

A Due Diligence é sempre necessária

conforme mencionado em artigos anteriores, eu possuo e mantenho alguns sites de baixo tráfego. Eu fui com Free Let’s Encrypt SSL certs (cortesia do meu provedor de hospedagem) por conveniência. Não tenho E-commerce no momento e uso gateways de pagamento e alojamento direto para contas da empresa como opções de pagamento preferenciais. Portanto, não tenho requisitos PCI-DSS, deixando outros para lidar com esse pesadelo.

no entanto, em conformidade com vários regulamentos (incluindo GDPR), cada site tem uma política detalhada de Privacidade e Cookies que afirma exatamente quais informações são coletadas dos visitantes do site. Sei que meus sites seguem as melhores práticas do setor, são prontamente atualizados com patches de segurança e assim por diante. Como posso garantir que os sites que visito sejam igualmente seguros e confiáveis? Ainda mais importante, quais são os riscos?

os riscos de confiar em HTTPS como uma indicação primária de segurança

os cibercriminosos usam HTTPS na maior parte, e os próprios sites são frequentemente vinculados a campanhas de phishing ou malware. Você pode chegar lá a partir de um link de E-mail, como resultado de uma consulta de mecanismo de pesquisa ou referência de outro site. Sim, eles também estão cientes do SEO. A coisa é, claro, eles possuem os sites para que eles possam instalar qualquer coisa que eles desejam fazer seus objetivos ter sucesso.

um download gratuito pode causar estragos em seu sistema ou Iniciar Ferramentas de keylogging, clicar em um link pode iniciar um programa ou editar o registro em segundo plano, pois as janelas de notificação geralmente são deliberadamente evitadas. Clicar em qualquer coisa nesses sites pode causar problemas. Na verdade, até mesmo carregar uma página da web pode fazê-lo, pois há muitos plug-ins disponíveis para coletar dados de visitantes quando eles se conectam ao site. Se o seu sistema operacional ou navegador web tem uma vulnerabilidade (mesmo as mais básicas visitante ferramentas de acompanhamento pode obter navegador e sistema operacional específicos) e, em seguida, você está aberto para um ataque. Eles terão seu endereço IP (a menos que você use uma VPN) para iniciar a ferramenta de hacking apropriada.

Algumas Dicas E Sinais de alerta Para se Proteger Online

Os seguintes (lista não exaustiva) dicas para reduzir o risco, enquanto a navegação na web:

Atualizações de Segurança e Patches para Navegadores, sistema operacional e Software

Instalá-los prontamente como os hackers e os testadores de penetração também têm acesso a dados publicamente disponíveis sobre as vulnerabilidades mais recentes e pode usar as ferramentas para a verificação de específicos.

use navegadores Seguros(com opções de segurança embutidas)

Sua Seleção é uma preferência pessoal. Eu uso cinco ou seis navegadores diferentes, incluindo Brave, Firefox e Tor.

Use Complementos e extensões para proteger a navegação

Adicionar à segurança do seu navegador da Web é uma boa ideia. Qualquer coisa da Electronic Frontier Foundation é uma adição digna, assim como os fundamentos de Privacidade da DuckDuckGo.

VPN

Use uma VPN para ocultar seu endereço IP real e fazer um ciclo a cada 30 minutos ou mais. Mesmo os gratuitos irão escondê-lo dos cibercriminosos. Faça sua seleção com sabedoria, pois algumas VPNs apenas coletam dados para profissionais de marketing e são elas mesmas mais tarde alvo de hackers. Eu uso uma solução comercial.

SEO

usar uma ferramenta como SEO Quake pode fornecer algumas pistas sobre a legitimidade de um site, incluindo a idade, o número de links externos e internos e muito mais.

o site

sites suspeitos muitas vezes não têm o básico. O Inglês pode ser fraco. Pode faltar qualquer informação real sobre o proprietário do site, como detalhes de contato. Normalmente, não exigirá páginas de política de Privacidade e Cookies. Pode empurrar BitCoin ou outras moedas digitais como métodos de pagamento preferidos. Na maioria dos casos, ele só vai se sentir ‘off’ ou oferecer algo para preços muito inacreditável para ser verdade. No clima atual, os golpes COVID-19 são comuns, então tenha cuidado.

conclusão

em conclusão, quando você visita novos sites, não confie no símbolo de bloqueio ou HTTPS. Pegue este site e Considere por que você está aqui. O progresso é uma marca bem conhecida com alcance global. A maioria de nós adere a marcas estabelecidas, mas uma pesquisa pode levá-lo a um novo produto ou provedor de serviços. Faça sua devida diligência antes de fazer uma compra ou mesmo explorar um novo site. Procure o nome de domínio entre aspas e adicione ‘review ‘ ou’ scam ‘ para ajudar na verificação (tendo em mente que avaliações falsas e sites relacionados também são possíveis). Sim, os golpistas pensam em tudo. Boa sorte …

Deixe uma resposta

O seu endereço de email não será publicado.