Como identificar sites falsos

DigiCert Blog
Dean Coclin
03-24-2021
LEIA EM 4 MIN

Na era da transformação digital, saber como identificar sites falsos não é apenas útil; é absolutamente essencial para você se proteger online. Saber reconhecer um site fraudulento pode proteger a identidade pessoal e profissional, as informações financeiras e o acesso a e-mails e redes sociais.

As fraudes relacionadas à COVID-19 e o roubo de identidades são cada vez mais comuns. O Departamento de Saúde e Serviços Humanos dos EUA alertou o público sobre as fraudes relacionadas ao coronavírus, que podem ocorrer na forma de ligações, mensagens de texto, mensagens em redes sociais ou sites. Mesmo durante a transição para um novo normal, as fraudes online não desaparecerão: o mais provável é que aumentarão. Saber verificar se um site é autêntico ajudará você a se proteger contra sites falsos agora e no futuro.

Como verificar um site

Confira a ortografia da URL

Um indicador importante de um site falso é uma URL com erros ortográficos. É possível que os fraudadores mudem ligeiramente o nome de uma URL (por exemplo, usando amaz0n.com) ou a extensão do domínio (usando amazon.org em vez de amazon.com).

Confira os selos do site

Um selo de site sinaliza que o site é autêntico. Em geral, para revelar mais informações sobre o site e como ele foi verificado, você pode clicar no selo do site. Não é recomendável confiar nos selos que não reagem quando clicados, pois provavelmente são cópias ilegítimas.

1 the DigiCert site seal
Figura 1: o selo de site da DigiCert

 

Procure um cadeado

O cadeado significa que o site está protegido por um certificado TLS/SSL que criptografa dados do usuário. Você pode ver o cadeado na parte superior esquerda da barra de endereço. Existem três tipos de certificados TLS que exibirão um cadeado: Domain Validation, Organization Validation e Extended Validation.

  • Certificado Domain Validation: verifica a propriedade do domínio. No entanto, os certificados DV não fornecem informações de identificação da organização. Portanto, não é recomendável usar esses certificados para fins comerciais.
  • Certificado Organization Validation: as organizações são autenticadas pela CA (autoridade de certificação) nos bancos de dados de registro oficial das empresas. Esse é o tipo de certificado padrão recomendado para um site comercial ou público.
  • Certificado Extended Validation: contém etapas de validação adicionais e oferece o mais alto nível de autenticação para proteger a marca e os usuários. As CAs podem exigir certos documentos e contatos pessoais para garantir que os certificados EV contenham informações de negócios legítimas. Elas são usadas pelas principais organizações do mundo para garantir a confiança dos usuários de que o site é autêntico e de propriedade da entidade com a qual estão sendo realizadas as transações.

Quando não há cadeado, a maioria dos navegadores exibe um aviso de site “não seguro”. No passado, a presença do cadeado era suficiente. Porém, com o aumento das fraudes online, é preciso mais do que o cadeado ao verificar um site.

Figura 2: Como um site seguro e um site não seguro aparecem no Chrome no computador.

 

Site seguro e site fraudulento

O cadeado significa que as informações em um site são criptografadas e consideradas seguras pelos navegadores. Infelizmente, um site seguro não significa necessariamente que é seguro fazer compras nele ou compartilhar informações. A presença de um cadeado não significa necessariamente que um site não é falso. As pesquisas mostram que até metade dos sites falsos usados para phishing hoje têm um cadeado.

Normalmente, os fraudadores usam certificados DV (certificados TLS de baixo nível oferecidos gratuitamente por algumas autoridades de certificação), e tudo o que eles precisam fazer para conseguir um cadeado é provar que são proprietários do site. Ao usar certificados DV, eles não precisam provar que a empresa é legítima. Às vezes, eles podem usar um certificado OV ou EV, mas, por exigirem mais esforços para serem obtidos, inclusive comprovar o registro de uma empresa, pagar com cartão de crédito válido e responder a certas consultas da autoridade de certificação, a maioria dos criminosos prefere não usá-los.

Os sites falsos que usam certificados TLS normalmente são descobertos, mas é possível que tenham conseguido causar inúmeros danos com um certificado.

Olhe além do cadeado

Você deve olhar além do cadeado, clicando nele uma vez para obter mais informações. Para o nível mais alto de autenticação, se você clicar no cadeado ele exibirá “Emitido para: [nome da empresa]” sob “Certificado (válido)”. Infelizmente, essa funcionalidade só está disponível nos navegadores para computador. Porém, seja em um navegador para dispositivos móveis ou computador, o princípio de ir além do cadeado para verificar se um site é seguro não muda.

Use um verificador de site

Se estiver em dúvida, use um verificador de site para confirmar se um site é seguro. Uma verificação de site seguro pode informar você sobre vulnerabilidades do site, se ele usa criptografia e qual é o nível de verificação dele.

Formas adicionais de verificar um site

Além de procurar um cadeado e selo de site e passar a URL por um verificador de site, examine também os seguintes indicadores de confiança em um site:

  • Uma política de privacidade
  • Uma política de devolução
  • Informações de contato da empresa, como número de telefone e endereço
  • Uso correto de ortografia e gramática
  • Avaliações online (pesquise no Google “avaliações de [nome do site]” para encontrar feedback online)

De forma geral, evite ofertas que pareçam boas demais, porque provavelmente são mesmo.

O que fazer se encontrar um site falso

Se você acessar um site fraudulento, não forneça informações confidenciais, como dados financeiros, login e senha, códigos de verificação, login do Facebook nem mesmo seu nome e informações de contato. Se estiver em dúvida, não informe nada. Além disso, não clique em links de e-mails desconhecidos, posts online ou DMs. Verificar se um site é falso ajudará você a saber se deve comprar ou não do site.

Denuncie um site falso na Navegação segura do Google e feche-o imediatamente.

UP NEXT
pki

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Histórias em destaque

A confiança digital fortalece a segurança das eleições

Um voto para a confiança digital

08-28-2024

Como solucionar problemas de DNS para segurança e desempenho

07-15-2024

O fim da confiança na Entrust: principais lições para CAs e organizações