*Por Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da Digicert
Roubo de senhas de streamings, redes sociais, WhatsApp falso, notícias falsas sobre Covid-19 e a vacina, golpes e ataques de ransomware mais sofisticados são algumas das principais ameaças às quais os usuários estão expostos. Não é novidade: a tecnologia facilitou a rotina das pessoas, especialmente com a pandemias. Hoje precisa sair de casa para fazer um pagamento, fazer compras ou mesmo ir a uma reunião. A Internet se tornou um universo à parte, cheio de transações. Porém, aproximadamente 11% dos usuários brasileiros da rede mundial de computadores já perderam dinheiro com esquemas fraudulentos. É resultado de pesquisa da Confederação Nacional dos Lojistas (CNDJ) e do Serviço de Proteção ao Crédito (SPC) em parceria com o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae).
Para evitar fraudes, o uso de certificados TLS para proteger e identificar sites se expandiu drasticamente na Internet. Isso foi impulsionado por navegadores que mostram indicadores negativos para sites não https, incentivando os sites a usar TLS. São três os tipos de certificados TLS: Validação de Domínio (DV), Validação de Organização (OV) e Validação Estendida (EV). Entendas as diferenças entre eles:
● Certificado de Validação de Domínio: eles são verificados em um registro de domínio para provar a propriedade do domínio do site. No entanto, os certificados DV não oferecem informações de identificação organizacional. Portanto, não é recomendado usar certificados DV para fins comerciais.
● Certificado de Validação de Organização: para receber um certificado OV, as organizações são autenticadas pela CA (Autoridade Certificadora) em bancos de dados de registro de negócios hospedados por governos. As CAs podem exigir certos documentos e contato pessoal para garantir que os certificados OV contenham informações comerciais legítimas. Este é o tipo de certificado padrão exigido em um site comercial ou público.
● Certificado de Validação Estendida: eles contêm etapas de validação adicionais e oferecem o mais alto nível de autenticação para proteger sua marca e seus usuários. Embora nem todo site na web use certificados EV, eles são usados pelas principais organizações do mundo para garantir a confiança do usuário.
Mais da metade dos 400 principais sites de comércio eletrônico usam EV, de acordo com dados de 2019 da Comscore e Netcraft. Eles descobriram que mudar de certificados OV para EV aumenta as transações online e melhora a confiança do cliente. Em todos os casos, a criptografia é fornecida entre o navegador e o servidor. No entanto, a criptografia não fornece autenticação. Sabemos que o navegador está criptografando dados para algum servidor com um nome de domínio verificado. Mas não sabemos nada sobre esse domínio com um certificado DV. Com OV e EV, recebemos mais informações sobre o domínio, incluindo a localização da empresa (OV), e ainda mais detalhes com EV.
Olhando além da fechadura
Com o advento de uma web que é mais de 90% criptografada e com navegadores mostrando um cadeado sólido para todos os sites https, independentemente do tipo de certificado, é uma falácia apenas "procurar o cadeado", pois isso é insuficiente para proteger os usuários de sites fraudulentos. Os usuários devem ser diligentes em procurar pistas sobre a identidade do site. Com certificados EV, você deve clicar no cadeado para ver o nome legal da empresa. Isso fornece excelente visibilidade de que o site foi autenticado.
Outra pista a procurar é o nome da Autoridade de Certificação (CA) que emitiu o certificado do site. Com alguns navegadores, os usuários podem passar o mouse sobre o bloqueio para ver o nome da CA. Se o indicador disser “Verificado pelo DigiCert”, você pode ter certeza de que a identificação do site foi verificada de acordo com os requisitos da indústria. CAs líderes, como DigiCert, estão constantemente atualizando os padrões globais pelos quais CAs validam identidades e seguem processos rigorosos.
Os certificados OV e EV requerem algum esforço para serem obtidos. Primeiro, a entidade solicitante deve ser uma organização válida e a CA deve examinar os registros públicos para autenticá-la. Como isso envolve trabalho manual, há um custo associado à aquisição do certificado. Normalmente, não são obstáculos para organizações legítimas. Mas, para os cibercriminosos, eles fornecem um atrito significativo, que pode ser evitado com a obtenção de um certificado DV. Conseqüentemente, o DV se tornou o certificado preferido de hackers e criminosos.
Uma pesquisa recente mostrou que quase metade dos sites de phishing agora têm o cadeado. Na maioria das vezes, os certificados DV são obtidos com facilmente para esses sites. Os hackers sabem que podem solicitar DV automaticamente sem fornecer nenhuma informação pessoal e são oferecidos gratuitamente por algumas CAs. Assim, hackers obtém certificados de fornecedores conhecidos de certificados gratuitos ou de baixo custo, com pouca ou nenhuma validação realizada. Dada a fácil disponibilidade desses certificados, não é de admirar que os cibercriminosos estejam adotando DV para legitimar seus sites.
Não se esqueça do básico
O que os consumidores podem fazer para reconhecer sites fraudulentos? São três as palavras: examine, examine e examine.
1. Embora no passado fosse normal apenas procurar a fechadura, agora a fechadura deve ser examinada. Passe o mouse sobre o bloqueio para ver qual CA emitiu o certificado. Se for DigiCert, você pode ter certeza de que o site foi verificado de acordo com os padrões da indústria e que, no caso de um certificado OV ou EV, a identidade do proprietário do site foi examinada para proteção adicional.
2. Observe atentamente a barra de endereço e leia o endereço com atenção. É o que você espera?
3. Clique no cadeado para revelar informações adicionais sobre o site. Se estiver usando um certificado EV, o nome da empresa será identificado imediatamente após clicar no cadeado.
Mas e se o site estiver usando um certificado DV? Isso significa que não é confiável? Não, não necessariamente. Novamente, tome cuidado ao examinar os itens acima. Milhões de sites usam DV e é perfeitamente adequado para muitas aplicações. Mas as transações financeiras / de e-commerce não são uma delas.