A maior parte das pessoas visita dezenas, por vezes até centenas de websites por dia. Lê-se uma notícia aqui, consultam-se as redes sociais ali, depois vê-se um vídeo num website de streaming e clica-se num link que um amigo enviou…
Como saber que todos estes websites que se visitam são seguros e que nenhum deles é, por exemplo, um website de phishing? A ESET dá umas dicas.
URLs mal escritos e caracteres ambíguos
Ataques homógrafos e URLs mal escritos são das táticas mais comuns que os cibercriminosos usam para enganar pessoas a visitar os seus websites maliciosos. Os ataques homógrafos baseiam-se em domínios com nomes muito semelhantes a outros, mas com caracteres visualmente ambíguos ou adições indiscerníveis.
Um subterfúgio relacionado é o chamado typosquatting, que envolve o registo de nomes de domínio parecidos com os de websites populares, mas com gralhas comuns, como por exemplo, “gogle.com” ou “gooogle.com”. Ambos estes exemplos são agora propriedade da Google e redirecionam para o website esperado, mas existem tantas possibilidades que é impossível cobrir todos os casos.
Assim, é importante ter cuidado redobrado a copiar ou clicar num URL e verificar sempre se se está no website correto. Alguns produtos de segurança, como os da ESET, incluem deteção de ataques homógrafos, avisando quando se acede a uma página web suspeita.
Verificar se um website é malicioso
Se tiver a sensação que algo está errado com o website que se está a visitar ou, ainda melhor, que se está a pensar visitar mais ainda não o fez, existem várias ferramentas online para verificar se é malicioso. Uma lista que compila estas ferramentas pode ser encontrada aqui.
Em alternativa, é possível fazer uma pesquisa WHOIS para descobrir o dono do domínio que se está a visitar. Neste caso, um dos sinais de que o domínio pode ser malicioso é se tiver sido registado recentemente. Por exemplo, o Facebook nunca poderá ser um domínio registado em maio de 2021!
Política de privacidade
Quando se está a navegar num website e não se sabe se é legítimo ou não, algo a verificar deve ser a existência de uma política de privacidade.
Todos os websites legítimos têm uma, uma vez que são obrigados por leis de proteção de dados a explicar como protegem e processam os dados dos utilizadores. Se um website não tiver isto, então provavelmente não tem interesse nas leis de proteção de dados existentes em todo o mundo e algo está errado.
Informação de contacto
Qualquer empresa legítima que esteja interessada em construir uma relação duradoura com os seus clientes tem informação de contacto listada no seu website no caso de alguma coisa correr mal. Normalmente, consiste num formulário de contacto, email ou número de telefone.
Existem alguns sinais que se deve ter em conta para determinar se um negócio é legítimo ou não. Por exemplo, se ligar para o número de telefone listado no website e este estiver inativo ou a pessoa do outro lado não soar profissional, provavelmente trata-se de um esquema. Passando este teste, deve-se também verificar se a informação de contacto oficial obtida com uma pesquisa rápida num motor de busca coincide com a que está listada no website.
O “S” em HTTPS
Uma dica muito usada para verificar se um website é seguro é verificar se usa o protocolo HTTPS. Isto porque o HTTPS assegura que a comunicação entre o servidor web e o navegador do visitante é fortemente encriptada. No entanto, nada garante que o website com HTTPS é mesmo o website de um banco ou apenas uma boa imitação concebida para roubar dados de acesso.
Hoje em dia, os cibercriminosos conseguem facilmente obter um certificado SSL/TLS completamente válido para os seus websites fraudulentos, da mesma forma que um negócio legítimo o faz.
Assim, o uso de SSL ou TLS por si só não é um indicador de que um website é seguro. No que toca a certificados, uma boa referência é ver a organização que os emitiram. Se os dados que um website processa são sensíveis, mas o seu certificado é grátis ou de baixo custo, deve-se questionar a legitimidade do website e investigá-lo mais a fundo.
Soluções de segurança
Usar uma solução de segurança completa é uma boa forma de se proteger contra a maior parte das ciberameaças, incluindo website maliciosos. Software de segurança como o da ESET analisa páginas web com um motor de monitorização integrado que procura conteúdo malicioso e bloqueia o acesso ao website se encontrar alguma coisa potencialmente perigosa. Ferramentas deste tipo também conseguem comparar websites e URLs com listas de websites e URLs maliciosos conhecidos, e utilizar tecnologia anti-phishing.
Fazer tudo isto pode parecer muito trabalho para ficar seguro, e ainda existem outras coisas a que se deve prestar atenção, como anúncios intrusivos ou erros gramaticais, que também podem indicar que um website é fraudulento. No entanto, não deixa de ser importante, e grande parte dos passos podem ser automatizados com software de segurança.