Sites de phishing agora operam com certificados SSL

Por Redação | em 15.10.2015 às 09h35

Phishing

A Netcraft, empresa britânica de monitoramento de rede, alega que fraudadores estão explorando fraquezas em companhias de tecnologia para conseguir certificados SSL/TLS para sites de phishing. De acordo com a empresa, as autoridades responsáveis não estão avaliando adequadamente os sites que solicitam certificação.

O SSL e TLS são tecnologias que permitem o tráfego seguro de dados pela internet, funcionando por meio de uma camada de proteção adicional de criptografia entre o usuário e o servidor a que ele está conectado. Já o ataque de phishing é caracterizado quando o fraudador utiliza sites, e-mails ou apps que são projetados especificamente para roubar dados pessoais.

O uso de certificados SSL/TLS é indicado por um cadeado verde na barra de endereço da maioria dos navegadores ou então pelo uso do “https” antes do "www". Estes sinais mostram que, teoricamente, o site em questão é seguro e não oferece riscos para transferência de dados pessoais, como sites de bancos por exemplo.

Para receber um certificado digital como este, os donos de sites recorrem a empresas chamadas "autoridades certificadoras". Elas fazem a validação do certificado por meio da verificação de dados como URL onde o certificado será utilizado, nome oficial da empresa, CNPJ, entre outros.

De acordo com a Netcraft, os fraudadores estão conseguindo enganar empresas renomadas, como Symantec, GoDaddy, Comodo e CloudFlare, para conseguir certificação para seus sites falsos, fazendo com que eles pareçam legítimos e seguros para os usuários. 

A denúncia diz ainda que estas empresas não estão analisando com cuidado os pedidos de certificação para vetar potenciais sites de phishing. Um dos indícios de que os pedidos deveriam ter sido vetados é o fato dos sites utilizarem domínios que têm todo potencial para ações fraudulentas, como "banskfamerica.com" e "emergencypaypal.net". 

Ao longo do mês de agosto, a Netcraft estudou diversos certificados emitidos para domínios suspeitos, como os citados acima. "Em apenas um mês, as autoridades certificadoras emitiram centenas de certificados SSL para nomes de domínios falsos usados em ataques de phishing", disse Graham Edgecombe, desenvolvedor de serviços de internet da Netcraft.

O tipo de certificado digital mais barato (e até mesmo gratuito) disponível no mercado é o chamado Domínio de validação (DV). Na validação de um DV, a autoridade certificadora verifica apenas o direito do candidato de usar um nome de domínio específico. Nenhuma informação sobre a identidade da empresa é vetada ou exibida. Para os certificados mais caros, as autoridades fazem uma verificação de identidade mais completa do requerente. 

Os fraudadores estão aproveitando o baixo custo e até mesmo a gratuidade de alguns DVs para conseguir seu certificado digital e criar sites mal-intencionados que parecem seguros. A brecha de segurança das autoridades certificadoras está no fato de muitas validações de DV serem feitas por sistemas automatizados, tornando a fraude mais fácil.

De acordo com as regras do setor, as companhias que emitem tais certificados devem fazer uma verificação mais aprofundada sobre nomes de domínio potencialmente de alto risco antes da emissão do DV. As empresas envolvidas não quiseram comentar o assunto.

Via PCWorld

Assine nosso canal e saiba mais sobre tecnologia!
Leia a Seguir

Comentários

Newsletter Canaltech

Receba nossas notícias por e-mail e fique
por dentro do mundo da tecnologia!

Baixe já nosso app Fechar

Novidade

Extensão Canaltech

Agora você pode ficar por dentro de todas as notícias, vídeos e podcasts produzidos pelo Canaltech.

Receba notificações e pesquise em nosso site diretamente de sua barra de ferramentas.

Adicionar ao Chrome