O Cadeado Não É Mais Símbolo Absoluto de Segurança Online, Entenda
A antiga regra de ouro de verificar o cadeado na barra de endereços para segurança online está desatualizada. Mais de 80% dos sites de phishing usam HTTPS, o que significa que o cadeado garante apenas a criptografia, não a idoneidade do site. Cibercriminosos exploram a facilidade de obter certificados SSL gratuitos, e técnicas como spoofing e typosquatting enganam usuários. Especialistas alertam que a atenção ativa ao URL, detalhes do certificado e links patrocinados é crucial para evitar golpes.
SÃO PAULO, SP - A antiga "regra de ouro" da internet dos anos 2000, que ditava que dados de cartão de crédito só deveriam ser inseridos em sites com um cadeado ao lado da barra de endereços, está obsoleta. Atualmente, mais de 80% dos sites de phishing também exibem o ícone do cadeado, que é um mero sinal de criptografia, e não de legitimidade. A confiança dos usuários nesse símbolo agora se volta contra eles, segundo especialistas.
O que o cadeado realmente significa?
O famoso "cadeado" indica a presença de certificados SSL/TLS no site, assegurando que a conexão entre o computador do usuário e o servidor da página web é criptografada e privada, utilizando o protocolo HTTPS. É como enviar dinheiro em um carro-forte: o transporte é seguro e blindado contra interceptações no caminho. O grande problema é que essa segurança no transporte não garante que o destino final não seja a conta de um golpista, permitindo que dados sejam enviados de forma extremamente segura para criminosos virtuais.
Como cibercriminosos exploram a confiança
Com o advento de autoridades certificadoras gratuitas, como o Let’s Encrypt, qualquer pessoa, inclusive cibercriminosos, pode emitir um certificado SSL em cerca de cinco minutos. Isso facilita enormemente a criação de sites falsos, que, aparentemente, são seguros. Um estudo recente da GitGuardian revelou que até chaves privadas TLS, as "chaves mestras", continuam vazando em plataformas como o GitHub. Isso permite que hackers criem clones perfeitos de sites de governos ou bancos, enganando usuários por meio de uma tática conhecida como spoofing, onde o site falso é reconhecido como oficial.
Outra técnica prevalente é o typosquatting. Nela, criminosos registram domínios com grafias quase idênticas às originais, substituindo caracteres latinos por outros de alfabetos diferentes, mas visualmente semelhantes. O navegador exibe o endereço "correto", com o cadeado de criptografia, mas a vítima acessa uma página fraudulenta idêntica à original.
Medidas ativas para proteção digital
Diante desses desafios, é fundamental nunca confiar apenas no aspecto visual do site. É preciso ler o endereço na barra para identificar erros de digitação sutis e caracteres estranhos, evitando o typosquatting, e desconfiar de extensões de domínio suspeitas. Clicar no ícone do cadeado para verificar os detalhes do certificado é uma etapa crucial: sites de grandes empresas e instituições geralmente exibem a razão social da companhia.
Além disso, é necessário ter cautela extrema com links patrocinados em buscadores como o Google. Cibercriminosos frequentemente inserem seus sites falsos, mesmo com cadeado, em anúncios pagos (Google Ads e outros). Recomenda-se evitar os primeiros resultados de busca que são patrocinados, acessando apenas os resultados orgânicos após o fim da seção de anúncios.
É importante lembrar que bancos e instituições financeiras não enviam links com cronômetros de urgência, alertando que sua conta será bloqueada em poucos minutos. Qualquer mensagem que exija ação rápida e contenha links suspeitos deve ser ignorada.
A segurança digital contemporânea exige atenção ativa do internauta. O cadeado é um requisito básico, mas representa apenas o primeiro passo na proteção online. O verdadeiro selo de confiança provém de múltiplas camadas de verificação e depende, em última instância, da vigilância do próprio usuário.