Diversos sites podem ser utilizados para um ataque de engenharia social. Você sabe como identificar sites falsos?
Descubra quais características podem auxiliar na distinção de páginas plagiadas para fins maliciosos.
Os principais desafios em como identificar sites falsos, incluem um fato importante:
Normalmente, os alvos são páginas que necessitam de credenciamento, citando como exemplo serviços de consumo como Netflix ou até mesmo e-mails, são alvos estratégicos de cibercriminosos de Engenharia Social em busca de roubar informações de acesso.
A maioria das páginas podem ser facilmente distinguidas pela URL na barra de endereços, que irá ser diferente da original.
Mas o que fazer quando os sites são redirecionados para páginas de crimes de Engenharia Social ou a variação não é perceptível?
Neste guia de como identificar sites falsos, separamos as seguintes dicas:
Como identificar sites falsos na Engenharia Social
Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.
No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.
Durante o check up de um site, é muito importante verificar as seguintes características:
A URL do site
A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.
Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.
Trata-se de uma prática muito comum nos sites utilizados para prática de Engenharia Social.
A quantidade de anúncios
Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).
Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.
Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.
Semelhante, mas é idêntico?
Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.
Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.
Esses detalhes muitas vezes são a chave para diferenciar de sites com ataques de Engenharia Social
Velocidade de carregamento
Os sites falsos de Engenharia Social muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.
Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.
Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.
Um dos critérios para saber como identificar sites falsos, é verificar se o site possui Certificado SSL
O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.
A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.
Protegendo o site de sua empresa contra fraudes de Engenharia Social
Agora que você já sabe os principais pontos a serem observados nos sites acessados para saber como identificar sites falsos, vamos nos aprofundar mais no tema para que sua equipe possa aplicar ou identificar as características no site de sua empresa:
Quais os tipos de certificado existentes
- Certificado de Validação de Domínio
O certificado de validação de domínio é o mais comum de todos, sendo ideal para sites que precisam de proteção moderada por lidar com um volume menor de dados no dia a dia.
Sua emissão é rápida, simples e ocorre com o comprovante de autoridade sobre o domínio (DNS), sendo também a opção mais acessível do mercado e com alternativas gratuitas como o Let’s Encrypt, uma autoridade certificadora gratuita e de código aberto.
- Certificado de Validação de uma Organização
O certificado de validação de uma organização possui proteção moderada por provar não apenas a autoridade de um domínio como também a existência da empresa nos termos legais.
Por isso, sua configuração é mais complexa, necessitando de comprovantes institucionais, e uma possível chamada para a confirmação das informações. Sua emissão também é um pouco mais demorada e não existem opções gratuitas.
O certificado neste caso também é mais personalizado do que o de validação de domínio, pois além do cadeado verde também mostra todas as informações confirmadas sobre a empresa, tornando-se uma opção mais confiável e a mais indicada para empresas que precisam garantir o tempo inteiro a sua autenticidade.
- Certificado de Validação Estendida
O certificado de validação estendida é o melhor no mercado por ser o único que deixa a barra totalmente verde além de exibir o nome fantasia de uma empresa.
Assim como o certificado de validação de organização, também exige o envio de diversos documentos da empresa e informações de acordo com o tipo de atuação.
Sendo o certificado mais caro disponível no mercado, é o mais indicado para empresas que necessitam de muito destaque para mostrar que o site é seguro, como no caso de instituições bancárias.
Sites com certificados gratuitos serão inferiorizados pelo Google?
Embora existam características muito distintas de um certificado simples para o mais avançado, não existem diferenças em relação ao seu nível de segurança, pois o processo de encriptação será semelhante em todos os casos.
Sendo assim, um site com certificado gratuito de validação de domínio não será necessariamente posicionado abaixo de um site que possui o certificado de validação estendida, por exemplo.
Certificado comum, coringa ou multidomínio, quais as diferenças e qual utilizar
O certificado comum (também conhecido como single domain) contempla apenas um único domínio e as páginas dentro dele, não incluindo os subdomínios. Exemplo: https://compugraf.com.br e https://compugraf.com.br/contato estão ambos contemplados por este certificado pelo fato de estarem dentro do mesmo site. É o certificado mais barato e indicado para sites com estruturas menores ou que simplesmente não utilizem subdomínios.
Já o certificado coringa – também conhecido como wildcard, abrange além das páginas dentro de um domínio, todos os subdomínios daquele endereço. Ou seja, https://compugraf.com.br está protegido, assim como https://blog.compugraf.com.br. Esta é a opção mais recomendada para sites que contenham uma estrutura pequena ou média mas que utilizem subdomínios.
Por fim, temos o certificado multi-domínio, que como o próprio nome sugere, abrange domínios diferentes de um mesmo site. sendo possível proteger até 100 domínios diferentes com o mesmo certificado.
Esta é a opção mais recomendada para sites com grandes estruturas e que demandam diferentes servidores e domínios.
Como a proteção de todos os certificados é igual, diferenciando apenas na abrangência, a melhor escolha é sempre a que se adequa a estrutura planejada para o site. Ou seja, caso exista a intenção de utilizar subdomínios para o próximo ano ou dois, talvez seja mais vantajoso simplificar o processo e instalar apenas uma vez o certificado multidomínio, já pensando na possibilidade de subdomínios no futuro.
O mesmo vale para a opção do certificado coringa.
O que acontece quando o certificado expira?
Na hora da contratação de um certificado SSL, é necessário selecionar o tempo de validade do mesmo. Isso também vale para os certificados gratuitos, que possuem uma data de expiração. Não há como alterar o tempo de validade após o certificado ser contratado.
Sendo assim, quando chegar a data de vencimento de um certificado, a única maneira de manter o site seguro é comprando um novo certificado, processo que irá demandar uma nova instalação. Da mesma maneira, não é possível alterar o tipo de certificado após ser gerado, o processo deve ser feito de maneira estratégica para não ocorrer desperdícios para a empresa.
Alguns serviços e empresas facilitam muito esse processo de nova instalação, muitas vezes realizando tudo de maneira automática após a compra. Mas no geral, é recomendável contratar o certificado para o maior tempo disponível no momento da renovação.
Do contrário, será necessário ajuda técnica na hora de uma nova instalação (o que pode demandar mais gastos) e também é importante que esse processo ocorra antes do processo de vencimento, pois do contrário haverá uma brecha de segurança até tudo ser resolvido novamente.
A instalação de um certificado, assim como sua reinstalação será sempre a responsabilidade da pessoa ou empresa responsável pela compra, sendo um processo simples ou demorado, dependendo do servidor de destino e do tipo de certificação.
Os certificados SSL são compatíveis com diferentes navegadores e dispositivos móveis?
Ainda que não seja possível afirmar a compatibilidade universal, é pouco provável que algum navegador atual, e o mesmo vale para navegadores para dispositivos móveis, não seja compatível com algum certificado. Isso porque a certificação representa também um dos pontos na qualidade de experiência de um usuário.
Caso por algum motivo algum navegador não se mostre compatível, é importante verificar sua versão (para ver se está atualizado) e comunicar imediatamente a empresa certificadora para justificar a incompatibilidade.
Quais as principais empresas certificadoras comerciais?
Enquanto o Let’s Encrypt é uma das opções gratuitas mais conhecidas e utilizadas no mercado, existem diversas alternativas comerciais – os certificados pagos. Algumas das mais populares, são: Geotrust, Symantec, Comodo e GlobalSign.
Os preços variam de uma empresa para outra, porém não há diferença na qualidade do certificado em si, devendo a preferência ser baseada na experiência com a empresa (melhor atendimento, custo benefício, etc), sendo que as marcas são intermediadas por revendedores.
Há desvantagens no certificado gratuito?
Se por um lado o Google não diferencia um certificado gratuito ou comercial em seus resultados de busca, existem algumas desvantagens de um serviço pago do gratuito:
- Não há suporte
Enquanto uma revendedora provavelmente fornecerá suporte para seus usuários, serviços gratuitos não. Ao menos não gratuitamente. Em geral, todos os serviços (revendedora e certificações) possuem sua própria documentação, mas somente as revendedoras comerciais irão disponibilizar algum tipo de suporte.
- Não há garantias
Ainda que a opção não deva ser descartada – principalmente se for um projeto em que a verba é limitada, a verdade é que nenhuma certificadora gratuita pode garantir que a criptografia é inquebrável, ou seja, a segurança pode ser falha e o consumidor não terá para onde reclamar. Caso ocorra qualquer quebra de criptografia em um serviço comercial, o cliente será indenizado.
Um certificado SSL garante a proteção de um site contra hackers?
Não. O certificado SSL é responsável pela segurança no tráfego de dados entre usuário e um servidor para impedir que uma terceira pessoa tenha acesso a elas, sendo diferente de uma solução entre vírus, por exemplo.
Para a segurança de um site contra ataques existem outras soluções, como a implementação de um CDN (ou Content Delivery Network), que cria uma camada de segurança além de mantê-lo no ar durante manutenções ao criar uma cópia da versão mais recente.
O que é um certificado auto-assinado?
Além das opções de empresas certificadoras mencionas, existe também uma outra modalidade de certificado: a auto-assinada. Neste caso, a própria empresa ou usuário pode gerar seu certificado, o que a primeiro momento parece ser a melhor opção.
No entanto, existem razões suficientes para descartar a opção na maioria dos casos, pois esses certificados não são reconhecidos pela maioria dos navegadores e embora ele esteja implementado no site, a mesma mensagem de site não seguro continua aparecendo.
Realize uma pesquisa pelo domínio no WHOIS
O WHOIS é um serviço que registra todas as informações do proprietário de um domínio, mas ainda sim não é um recurso útil todas as vezes, pois a maioria das empresas que oferecem o serviço de registro de domínios também possuem o serviço adicional de ocultação das informações de propriedade.
Caso o domínio não tenha as informações ocultadas, é possível ver exatamente a pessoa ou empresa que o registrou, o número do CPF ou CNPJ se for pessoa jurídica. Além disso, também é possível ver a empresa contratada para o registro de domínios, a data de registro e de vencimento do domínio.
Realize uma pesquisa simples no Google
Por mais simples que possa parecer, uma busca simples no Google pode ser bem efetiva para descobrir se um site é legítimo ou não. Buscar pelo nome da empresa/site irá revelar que se trata de um site legítimo (caso o endereço seja compatível) ou até mesmo se outras pessoas tiveram algum tipo de problema – o que pode aumentar as suspeitas da página.
Além disso, o google também possui uma ferramenta de verificação de transparência de um site, contendo diversas informações e dicas de segurança.
Verifique se não sofreu nenhum redirecionamento
Sites afetados por algum tipo de malefício podem apresentar problemas sérios de segurança, como a exibição de anúncios que contenham vírus ou o redirecionamento da página para um site falso, ou seja, apesar de o endereço estar correto e a verificação no Google tenha funcionado, o site sofreu algum tipo de ataque durante uma vulnerabilidade.
O Brasil no foco dos ataques de Phishing
As pessoas irão olhar o seu site primeiro
Pensar na estratégia de proteção do site da própria empresa é uma etapa de extrema importância, pois da mesma forma que os sites que acessamos todos os dias estão vulneráveis, o nosso também pode estar.
Quer saber mais sobre como proteger o acesso a sites e a própria empresa contra cibercriminosos? Converse com nossos Especialistas em Segurança da Informação.
