11 Oct

Browsers reforçam navegação segura com SSL

O Google Chrome e o Mozilla Firefox estão atualizando como os sites SSL / HTTPS são exibidos aos usuários, continuando sua iniciativa de mover todo o tráfego da Internet para HTTPS O Google e a Mozilla anunciaram recentemente várias alterações na forma como exibirão sites HTTPS no Chrome e Firefox, respectivamente.

A maioria dessas mudanças faz parte do esforço sobre o qual os navegadores estão falando há alguns anos – incentivando todos os sites a mudarem de HTTP para HTTPS. Aqui está uma rápida visão geral de seis mudanças dignas de nota que os navegadores estão fazendo e o que os webmasters e usuários de Internet precisam saber.

1) Chrome para forçar HTTPS ou bloquear “conteúdo misto” Durante anos, o “conteúdo misto” tem sido a desgraça dos desenvolvedores da Web em todo o mundo – depois de mudar seu site para usar HTTPS, muitas vezes havia imagens, scripts ou outros arquivos ainda carregados via HTTP que acionavam erros de segurança do “conteúdo misto” no navegador do usuário assim: Como o Google explica : “As páginas HTTPS geralmente sofrem de um problema chamado conteúdo misto, em que os sub-recursos da página são carregados de maneira insegura por http: //. Os navegadores bloqueiam muitos tipos de conteúdo misto por padrão, como scripts e iframes, mas ainda é permitido carregar imagens, áudio e vídeo, o que ameaça a privacidade e a segurança dos usuários. Por exemplo, um invasor pode adulterar uma imagem mista de um gráfico de ações para enganar os investidores ou injetar um cookie de rastreamento em uma carga mista de recursos. O carregamento de conteúdo misto também gera um UX confuso para a segurança do navegador, onde a página é apresentada como nem segura nem insegura, mas em algum lugar no meio. ” A partir da versão 79 do Chrome (prevista para lançamento em dezembro de 2019), o Google implementará gradualmente um plano para alterar a forma como o conteúdo misto é tratado: Versão 79: os usuários poderão bloquear ou desbloquear manualmente o conteúdo misto. Versão 80: o áudio e o vídeo mistos serão atualizados automaticamente para HTTPS – se forem inacessíveis via HTTPS, serão bloqueados. As imagens mistas serão carregadas, mas mostrarão um aviso “Não seguro” na barra de endereço. Versão 81: as imagens mistas serão atualizadas automaticamente para HTTPS – ou bloqueadas se não puderem ser carregadas via HTTPS. Por fim, isso não muda o que os webmasters precisam fazer – verifique se todos os recursos (incluindo imagens, vídeo e áudio) são carregados em HTTPS 100% do tempo.

2) O Firefox marca todas as URLs HTTP como não seguros Seguindo os passos do Chrome, o Firefox agora está marcando todas as páginas HTTP como “Não Seguro”. Nos últimos anos, o Firefox começou a avisar os usuários se uma página HTTP continha um login ou outro formulário , mas agora o Firefox mostrará o aviso em todas as páginas HTTP. A partir da versão 70 do Firefox (prevista para lançamento em outubro), os usuários verão um aviso como este em todas as páginas HTTP: Se você clicar no cadeado, verá uma mensagem como esta: A partir daí, você pode clicar para obter mais detalhes para ver isso:

3) Firefox inicia a transição para DNS sobre HTTPS A partir de setembro, o Firefox iniciou uma implementação gradual, alternando os usuários para usar o DNS sobre HTTPS (DoH) por padrão. Se o plano for conforme o esperado, todos os usuários dos EUA serão trocados até 2020. No ano passado, o Firefox explicou por que estavam começando os esforços para mudar para o DoH: “Como não há criptografia, outros dispositivos ao longo do caminho também podem coletar (ou até bloquear ou alterar) dados [DNS]. As pesquisas de DNS são enviadas para servidores que podem espionar o histórico de navegação do site sem informar ou publicar uma política sobre o que eles fazem com essas informações … Nosso primeiro esforço para atualizar a privacidade do DNS é implementar o protocolo DNS sobre HTTPS (DoH) , que criptografa solicitações e respostas de DNS “. Essa decisão não ficou isenta de controvérsias, pois alguns especialistas em segurança cibernética acreditam que o DoH causará mais problemas do que resolve . O DoH do Firefox usa o serviço DNS do CloudFlare por padrão, mas os usuários podem mudar para um serviço alternativo, se preferirem.

4) O Google testa DNS sobre HTTPS A partir da versão 78 do Chrome (prevista para lançamento em outubro), o Google começará a testar o DoH para determinados servidores DNS: “Esse experimento será realizado em colaboração com os provedores de DNS que já suportam o DoH, com o objetivo de melhorar a segurança e a privacidade de nossos usuários em comum, atualizando-os para a versão do DoH de seu serviço DNS atual. Com nossa abordagem, o serviço DNS usado não será alterado, apenas o protocolo… Os objetivos deste experimento são validar nossa implementação e avaliar o impacto no desempenho. ” Embora o Google esteja um pouco atrás do Firefox na implementação do DoH, parece provável que o Chrome a implemente para a maioria / todos os usuários em 2020.

5) Chrome Hides Protocol (http: // ou https: //) do URL O Google fez recentemente uma alteração na forma como os URLs são exibidos na barra de endereços – ocultando o http: // ou https: // desde o início do URL. À primeira vista, essa alteração pode parecer que o Chrome está reduzindo a importância do HTTPS, mas na verdade é o contrário. Essa alteração faz parte do esforço do Google para tornar o HTTPS o protocolo padrão para toda a web. Pesquisas mostram que, quando se trata de segurança na Internet, indicadores positivos são valiosos, mas os usuários prestam mais atenção a indicadores negativos. É por isso que o Google implementou um plano para tornar o HTTPS o padrão e mostrar avisos para URLs HTTP. Essa alteração é simplesmente a próxima etapa desse plano: o HTTPS é normal (o que normalmente não é mostrado), mas o HTTP dispara um erro. As páginas HTTPS agora são exibidas assim: Enquanto as páginas HTTP são assim:

6) Alterações de exibição do Chrome e Firefox EV Diferentemente das cinco primeiras alterações, esta não se trata de fazer com que mais sites mudem para HTTPS – é uma alteração na maneira como os sites com certificados EV SSL são exibidos. Chrome e Firefox estão movendo a exibição do EV (nome da empresa verificado) da barra de endereço para a exibição dos detalhes do certificado. Os usuários agora poderão visualizar os detalhes da empresa EV clicando no cadeado para obter uma exibição como esta: Eles também podem clicar para visualizar detalhes adicionais do certificado como este: Você pode pensar nessa exibição de EV um pouco como um passaporte: você não a usa na manga, mas existe sempre que a verificação de identidade é necessária. Se um usuário não tiver certeza sobre um site, ele pode verificar rapidamente os detalhes do EV para ver qual entidade legal possui e opera o site. Além de estarem disponíveis para os clientes verificarem a qualquer momento em que não tiverem certeza de um site, os detalhes do certificado EV são usados ​​por outras entidades para verificação de identidade: O software antivírus usa detalhes do certificado EV para distinguir sites respeitáveis ​​de sites de phishing.

Os governos (especialmente na Europa) estão cada vez mais exigindo que as empresas que fazem transações on-line forneçam informações de identidade verificadas por meio de um certificado EV EV e / ou um LEI. Para o registro, acreditamos que os navegadores devem tornar as informações de identidade verificadas, como os detalhes do VE, mais proeminentes, e não menos. A menos que / até que uma solução melhor seja implementada, o EV SSL ainda é a melhor solução disponível para os usuários verificarem a entidade legal que opera um site. Dito isso, essas alterações não alteram o objetivo fundamental que um certificado EV SSL cumpre: uma maneira de usuários da Internet, software de segurança e governos verificarem a entidade legal que opera um site. Com a explosão do crime on-line, os reguladores esperam cada vez mais que as empresas apresentem identidades verificadas on-line – acreditamos que o EV SSL (e ferramentas similares) será uma parte importante da internet nos próximos anos. A linha inferior Nenhuma dessas alterações na interface do SSL muda os jogos para usuários ou proprietários de sites. A maioria dessas mudanças são incrementais, movendo gradualmente mais usuários e sites para HTTPS – no geral, isso é bom para os usuários, para os proprietários de sites e para a Internet.

Share this
04 Oct

O que é Phishing e como se proteger na internet?

Os conteúdos que circulam na internet por meio de sites, e-mails, mensagens instantâneas, redes sociais e SMS podem ocultar intenções criminosas de realização de fraudes online. Geralmente, os criminosos cibernéticos se passam por empresas respeitáveis e sites confiáveis para atrair pessoas, utilizando uma técnica denominada “phishing”, que consiste em jogar iscas para pescar informações, aludindo à palavra inglesa “fishing” que quer dizer pescaria. Essas fraudes têm taxa média de sucesso de 5%, de acordo com o Anti-Phishing Working Group, e podem resultar em inúmeros transtornos e prejuízos financeiros para as vítimas do golpe.

Neste post, vamos informar como funciona o phishing, para facilitar o seu reconhecimento, e os cuidados a serem tomados para evitá-lo. Leia com atenção e tome uma postura preventiva!

As múltiplas faces dos fraudadores

Geralmente, os phishers (fraudadores) assumem a identidade de instituições como: bancos; operadoras de cartão de crédito, telefonia e televisão a cabo; provedores de e-mail; órgãos do governo (especialmente a Receita Federal); delegacias; companhias aéreas; lojas virtuais; grandes redes varejistas e outras entidades respeitáveis. Algumas vezes, podem se passar até mesmo por pessoas conhecidas do internauta.

Os indícios do phishing

Os assuntos do phishing são seu principal indício. Eles são criados de forma a despertar interesse, curiosidade, sensação de urgência ou oportunidade para induzir a pessoa alvo do golpe a agir por impulso, no calor da emoção, sem raciocinar muito. A seguir, citaremos alguns exemplos de assuntos abordados:

  • Bancos: atualização de cadastro para evitar bloqueio de conta; expiração de senha, chave de acesso ou token; confirmações de depósitos.
  • Cartão de crédito: expiração de pontuação em programa de fidelidade; confirmações de compras, geralmente, de alto valor; envio de fatura.
  • Contas de correio eletrônico: cancelamento de e-mail; expiração de senha; bloqueio por falta de pagamento ou falta de recadastramento.
  • Generalidades: inscrição em cadastros de restrição de crédito; notificação de herança; envio de fotos comprometedoras, íntimas ou reveladoras; envio de cartões de mensagens virtuais; declarações de amor de um admirador secreto; premiação em sorteio; ofertas de softwares gratuitos de antivírus ou melhoria de performance do computador; mensagens com dados pessoais do destinatário.
  • Jornalismo: temas noticiados no momento (acidentes, atentados, catástrofes e escândalos políticos); informações exclusivas sobre celebridades ou denúncias.
  • Lojas virtuais e grandes redes de varejo: ofertas de promoções e recompensas; envio de nota fiscal eletrônica.
  • Órgãos públicos: notificações da Receita Federal; atualização do cadastro de CPF e Título de Eleitor; intimações de órgãos judiciais ou autoridades policiais; notificações de multa de trânsito ou irregularidades com o veículo.
  • Redes sociais: notificações, marcações em fotos e convites para jogos e eventos.

Além dos assuntos citados acima, que dão indícios de que o conteúdo é um phishing, existem outros aspectos que podem demonstrar esta prática: erros gramaticais e/ou ortográficos na mensagem ou site; imagens de má qualidade; elementos visuais faltantes no site; mensagens estranhas de amigos.

Os mecanismos de ação

Quando o internauta interage com o e-mail, SMS, mensagem instantânea ou site fraudulento, é induzido a clicar em um link para visualizar algum conteúdo ou baixar algum anexo – geralmente arquivo com extensão .exe ou .zip – que promove a instalação de malware (software malicioso) ou vírus no computador ou dispositivo móvel.

O malware pode: disparar mensagens de phishing para todos os contatos do correio eletrônico ou das redes sociais da vítima; registrar dados digitados; capturar arquivos ou monitorar as atividades do usuário na Web. O link também pode conduzir a uma página falsa (idêntica à página original) na qual devem ser digitados dados e informações pessoais e sigilosas.

Outros mecanismos são: sites de e-commerce falsos, para capturar dados dos compradores, que não receberão os produtos adquiridos; e a compra de informações cadastrais de forma ilícita ou invasão de bancos de dados corporativos para roubá-las e utilizar nas ações de phishing.

Consequências do phishing

As principais consequências desta fraude são: roubo de informações pessoais — com estes dados, os fraudadores emitem documentos falsos e realizam transações comerciais diversas, especialmente, atos de estelionato; roubo de senhas bancárias e de cartões de crédito — com estes dados os phishers realizam saques e transferências de valores e efetuam compras em nome do titular da conta ou cartão.

Como se proteger

Existem no mercado softwares anti-phishing, com filtros anti-spam eficazes, que notificam sobre indícios de irregularidades em e-mails. Já quanto aos sites, existem antivírus e firewalls que fazem a varredura e notificam irregularidades ou bloqueiam o acesso, quando detectam qualquer possibilidade de fraude.

Outra forma de se proteger, é passando o ponteiro do mouse sobre o nome do remetente da mensagem, aparecerá o e-mail real utilizado e você verá que tem outra origem. Passe o ponteiro do mouse sobre o link da mensagem e você verá que o endereço (URL) não tem nada a ver com o do suposto remetente original. Mas, fique atento, por que às vezes a URL é bastante semelhante à original, mas sempre terá alguma diferença.

Como solucionar problemas

Se for vítima de phishing em sua conta bancária ou cartão de crédito, registre um boletim de ocorrência e notifique imediatamente o banco e a operadora de cartão de crédito, para cancelamento dos cartões e troca de senhas, assim como para rastrear as operações fraudulentas que foram efetuadas e tomar as providências cabíveis administrativas e judiciais, se necessário.

Se o phishing contaminar seu computador ou dispositivo móvel com vírus ou malware, faça a descontaminação com antivírus e instale um firewall ou recorra à assistência técnica para recompor o funcionamento do seu equipamento.

O phishing é uma prática criminosa muito danosa do mundo virtual, que provoca prejuízos financeiros, danos em equipamentos e danos morais. Os fraudadores estão continuamente em busca de novos temas e sistemáticas de captura de novas vítimas. Manter-se bem informado quanto às técnicas, manhas e artimanhas dos cibercriminosos e utilizar softwares anti-phishing, antivírus e firewall são os melhores meios de fugir dessa terrível ameaça.

Share this

Since 2008 - GF7 Brasil Sistemas -  © All rights reserved.