Digital Fraud

Phishing pode se esconder atrás do HTTPS

Por Eduardo Hennemann em
COMPARTILHAR

Falsa sensação de segurança_

Em muitos artigos e dicas relacionados a segurança na internet, como uma matéria divulgada pelo Procon Campinas recentemente, afirma-se que domínios com HTTPS são sinônimo de sites seguros. Porém, quanto maior o número de sites verdadeiros com o cadeado verde, maior também é a quantidade de páginas de phishing que o utilizam. Abordamos alguns pontos a respeito do certificado SSL, para desmistificar algumas pre-concepções sobre a sua confiabilidade, já que páginas falsas podem também usar essa conexão “segura”.

O ícone do cadeado é fundamental para a realização de transações bancárias e compras na internet, pois ele sinaliza ao usuário que o site acessado oferece conexão criptografada entre a sua máquina e o servidor. No entanto, seu uso não garante que o local para onde estão sendo enviadas as informações dos usuários seja idôneo.

A segurança do HTTPS e o phishing

O HTTPS (HTTP Secure), comumente chamado de “cadeado verde”, é um protocolo usado para mostrar que determinada página tem uma comunicação segura entre o servidor onde está hospedada e o usuário. Para que isso ocorra, todos os dados trocados entre as partes são criptografado. Caso esses dados sejam interceptados, eles não podem ser lidos ou acessados por terceiros.

HTTPS e o cadeado verdeHTTPS e o cadeado verde

Para que um site possa utilizar a sigla HTTPS, ele precisa ter um certificado SSL, o qual deve ser emitido por uma Autoridade Certificadora e reconhecido pelo navegador. Para adquirir um certificado SSL, o proprietário da página precisa provar para a Autoridade Certificadora que é o detentor legal do domínio utilizado e, ainda, fornecer dados pessoais e de sua organização, de forma a evitar que certificados fraudulentos sejam gerados. Certificados falsos podem ter como objetivo interceptar comunicações legítimas ou ser utilizados em sites falsos (phishing).

Fraudes Seguras

Aproveitando-se do “mito” criado a respeito do HTTPS (segundo o qual, os sites que tem o “cadeado verde” são sempre seguros e confiáveis), os fraudadores passaram a utilizar certificados em sites falsos ou páginas de phishing. As fraudes utilizando conexões seguras e certificados SSL começaram em 2015, em 2017, cresceram consideravelmente, segundo estudo feito pela Phishlabs, representam cerca de 25% de todos os phishings. O objetivo de quem pratica esse tipo de fraude é aumentar o número de vítimas, a partir da criação de uma sensação de segurança ilusória.

As imagens a seguir são exemplos de sites falsos idênticos aos legítimos e que também usam o protocolo HTTPS. O objetivo com essas páginas é que elas fiquem o mais convincentes possível, a fim de ludibriar as vítimas e roubar seus dados, sejam informações pessoais ou financeiras. O primeiro exemplo é do site “claimitnowonline.com”, que se passa pelo site “live.com”. da Microsoft.

Exemplos

 Site falso “claimitnowonline.com”Site falso “claimitnowonline.com”

 

Site Original “live.com”Site Original “live.com”

Como pode ser visto nesse exemplo, o site falso é idêntico ao original e também utiliza o HTTPS, mas seu domínio não tem ligação alguma com a Microsoft, responsável pelo site original. Nas imagens a seguir, vamos explorar o certificado SSL utilizado pelo site falso, mostrando como ele utiliza dados diversos da página original para gerar sua conexão segura e imitar a versão original.

É possível notar que o site falso possui um certificado de segurança temporário (com apenas três meses de validade) e que estão faltando dados do responsável. Já o site original tem informações completas e bem claras, e seu certificado tem validade por um período longo, de dois anos..

(informações do certificado do site falso)Informações do certificado do site falso

(informações do certificado do site verdadeiro)
Informações do certificado do site verdadeiro

Outra tática usada por golpistas para “pegar carona” na credibilidade de um certificado SSL, ocorre quando eles invadem sites verdadeiros, que já possuem seus próprios certificados e HTTPS, para substituir seu conteúdo por uma página falsa. Para ilustrar esses casos, trouxemos o exemplo abaixo. O site “traveltroopz.in” foi invadido e passou a exibir a página falsa de um banco norte-americano.

(informações do certificado do site verdadeiro)Site legítimo invadido e substituído por phishing de banco norte-americano

 

(dados do certificado mostrando que ele foi gerado para o site legítimo)Dados do certificado mostrando que ele foi gerado para o site legítimo

Cuidados com segurança corporativa

Para manter a segurança dos usuários e prevenir páginas falsas, recomendamos tomar algumas medidas de segurança:

  • Lembre-se que o certificado SSL é obrigatório para páginas que transacionam informações, já que confere sigilo aos dados enviados;
  • Fique atento a páginas que possam estar usando a identidade de sua empresa para fraudes, mesmo que exibam certificado SSL;
  • Monitore possíveis cópias fraudulentas (phishing) de suas páginas;
  • Mantenha seus colaboradores e clientes informados sobre potenciais riscos de segurança;
  • Informe seus clientes sobre ataques em local de fácil acesso, como o site principal, para facilitar sua verificação.

Referências:

Rashid, F. (2015) Phishing sites exploit trust in valid SSL certificates - https://www.infoworld.com/article/2992605/security/phishing-sites-exploit-trust-in-valid-ssl-certificates.html

Reynolds, K. (2017) Spike in Phishing Attacks with Websites Using Genuine SSL Certificates - https://blog.instantssl.com/ssl-certificate/spike-phishing-attacks-websites-using-genuine-ssl-certificates/

Santino, R. (2017) O que é, para que serve e como funciona o cadeado verde no seu navegador - https://olhardigital.com.br/fique_seguro/noticia/o-que-e-para-que-serve-e-como-funciona-o-cadeado-verde-no-seu-navegador/65866

Renkel, G. (2018) Site Seguro: a importância do cadeado verde para o seu negócio - https://www.secnet.com.br/blog/cadeado-verde

Procon Campinas - Compras pela internet: Procon dá dicas de segurança - https://procon.campinas.sp.gov.br/compras-pela-internet-procon-d-dicas-seguran

A Quarter of Phishing Attacks are Now Hosted on HTTPS Domains: Why? - https://info.phishlabs.com/blog/quarter-phishing-attacks-hosted-https-domains

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Eduardo Hennemann

Analista de Antifraude do CSIRT da Axur e especialista em resposta a incidentes, formado em Segurança da Informação pela UNISINOS - Universidade do Vale do Rio dos Sinos e mestrando em MSc in Cyber Security na University of Liverpool. Possui as certificações Fundamentals of Incident Handling e Advanced Incident Handling for Technical Staff do CERT.br, assim como certificações TCSP - TrendMicro Certified Security Professional e TCSM - TrendMicro Certified Security Master. Profissional no mercado de TI a mais de dez anos sendo os sete últimos focados em Segurança da Informação, e desde 2012 focado com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malwares.

Posts relacionados