Nos últimos meses observamos no nosso Laboratório de Cyber Security (LabSec) que a quantidade de phishing com SSL aumentou exponencialmente.
Se quiser saber como geramos assinaturas de phishing no LabSec veja nesse post.
O que observamos foi que antes a grande massa de phishing recebidos, mais de 1.700 amostras únicas por dia, começaram a trazer links com HTTPS.
No início achamos que era algo pontual ou gerado por determinada campanha de phishing, sim parece estranho mas chamamos de “campanha” pois esses ataques possuem um padrão, começam e terminam em determinada data, possuem frequência, alvo e conteúdo único…similar a uma campanha de marketing.
O que acendeu o alerta foi que nos últimos meses tem se intensificado o uso de HTTPS e ao investigar a emissão dos certificados, observamos o uso massivo de SSL gratuito.
Um dos motivos pelos criadores de phishing não se darem ao trabalho de configurar HTTPS nos sites, era devido ao custo anual do certificado SSL e também por haver uma verificação mais rigorosa da Autoridade de Certificação (CA).
Porém conseguir um ceritificado SSL esta mais fácil e isso esta acontecendo devido ao incentivo das CA fornecendo certificado SSL gratuito.
Uma dessas CA é a Let’s Encrypt, que foi criada com o intuito de fornecer uma navegação mais segura para os usuários.
O Google também já anunciou que dará preferência nas buscas para sites que usarem HTTPS configurado, o que tem massificado o uso de Certificados SSL.
Mas o que gera uma certa preocupação para as equipes de segurança é que a grande maioria dos usuários considera que está seguro ao acessar um site com o “cadeado” no browser.
De fato a navegação pode ser critptografada, mas quem está no controle dos servidores? Quem emitiu o Certificado SSL? Ou seria site de phishing perfeitamente elaborado para capturar dados confidencias de acesso ?
Observamos cada vez mais sites falsos se tornarem mais parecidos com o original, imitando perfeitamente o layout, imagens, estilos CSS e template HTML.
Alguns sites falsos carregam imagens do site original, levando a primeira vista ao engano.
Como algumas pesquisas já indicam o phishing aumentou 63% em 2017 e apesar da tecnologia fazer seu papel, muitos usuários não são treinados para identificar um site ou email falso.
Veja um exemplo de um phishing com HTTPS:
A URL na imagem acima indica o site do banco com HTTPS, porém direciona para o site falso criado para capturar dados do usuário.
Outro exemplo de phishing usando SSL:
Assim sempre consideramos que em Segurança da Informação vale a abordagem T.P.P. (Tecnologia, Processos e Pessoas).
Se você tiver 2 dessas coisas até sobrevive, se tiver só uma vai ter problemas…mas essas 3 coisas combinadas criam um ambiente de alto nível de segurança e redução de risco para a empresa.
Bom trabalho!
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: