HTTPS e a falsa sensação de segurança

Compartilhar:

Cientistas da Universidade de Concordia, em Montreal, Canadá, testaram 14 programas antivírus que oferecem a checagem de páginas HTTPS e descobriram que boa parte desses programas mais cria problemas de segurança do que resolvem. Para se ter uma ideia, 50.000 páginas infectadas de sites protegidos com tecnologia https são detectadas e bloqueadas diariamente. Diante desse cenário, fica evidente a importância de realizar a checagem ou varredura desse mecanismo para não gerar aquela falsa sensação de segurança.

Segundo Lukas Rypacek, diretor da Plataforma Desktop da Avast, à medida em que mais e mais serviços online adotam HTTPS, mais ataques são dirigidos a eles. “Atualmente, cerca de 30% de todo o tráfego da web conta com esse recurso”, destaca. Isso significa que, quando hackers conseguem invadir um site confiável e injetam ali um script de malware ou plantam um download de malware nas páginas, os visitantes receberão esse malware tanto em HTTP quanto em HTTPS.

Além disso, alguns anos atrás o HTTPS era usado principalmente por grandes organizações, como os bancos, por ser caro e difícil conseguir um certificado TLS/SSL para criptografar o tráfego. “Para os autores de malware, não valia a pena comprar um certificado para seu site, porque os usuários estavam mesmo era se conectando em sites HTTP”, explica Rypacek. Hoje, no entanto, qualquer pessoa que possua um domínio pode obter o certificado de graça ou pagando. Serviços como o Letsencrypt.org tornam esse processo fácil para qualquer um.

Justamente por essa razão que o especialista alerta que ataques via HTTPS se tornaram tão interessantes para cibercriminosos, que fazem sites de download que parecem inofensivos, mas têm conteúdo malicioso, embora ainda seja difícil para eles falsificarem o site de um banco.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...