PplWare Mobile

Um site com HTTPS pode ser considerado legítimo? Claro que não!

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Não Interessa says:

    Eu de vez em quando recebo mails do “Paypal” a dizer que a minha conta está comprometida e afins, carrego no botão, olho para o url e é meio manhoso.

    Fecho abro outro tab à parte acedo com o url correto, login e nada de notificações.

    De volta ao mail, reportar. Next!

    • Nuno says:

      Eu além disso ainda envio o mail para o PayPal. Mail esse que eles disponibilizam para estas situações. Julgo que é spoof@paypal.com .Basta fazer forward do mail e apagar de seguida. NUNCA tenham curiosidade de ver o link, mesmo qd já se tem alguma experiência na área, há sempre alguém que sabes mais…

  2. Asdrubal says:

    O que eu entendo por HTTPS é que apenas segue o protocolo HTTP cifrado, e não tem propriamente uma entidade certificadora a certificar o site.

    • LG says:

      Existem cerficiados SSL simples (tipo LetsEncrypt), e certificados SSL “EV” (Extended-Validation) que são emitidos por entidades reguladoras que “verificam” a validade de uma empresa para esta a obter.

      Exemplo certificado simples: pplware
      Exemplo certificado ev: cgd.pt

      Sim, ambos têm HTTPS, mas a cgd.pt foi verificada pela DigiCert. Um site phishing não consegue tal coisa

    • aware says:

      Https certifica te que estas ligado ao servidor presente no url sim

  3. Dan says:

    Cadê os defensores do HTTPS?

  4. Str says:

    Epá vocês as vezes até apresentam conteúdos bem interessantes, fugindo um pouco do costume,smartphones. Isto é interessante e vale a pena ler, uma vez que até um tipo mais ou menos batido nestes meios pode cair num destes esquemas bem montado. Valeram os 5 minutos de atenção. Obrigado

  5. William says:

    Atualmente, nada pode ser considerado como segurou e/ou legítimo. Todo cuidado é pouco! Sites de phishing estão cada dia mais “inteligentes”.

  6. Daniel says:

    Então, usar esta extensão: https://www.eff.org/https-everywhere
    Em tese, é inútil?

  7. JJ_ says:

    Esta de obrigar a todos os sites terem HTTPS, simplesmente vem alimentar as empresas de certificados e por sua vez confundir os utilizadores.

    Antes normalmente e na sua maioria os sites de Phishing, não se preocupavam com esses detalhes. E os utilizadores que quisessem ser informados consiguiam destinguir mais facilmente o que era falso ou não.

    Havendo essa obrigação, a maioria dos sites Phishing vão então começar a procurar imitar os sites mais legítimos com maiores detalhes, acabando por iludir ainda mais os utilizadores.

    Qualquer das formas, um recomendação simples é:
    Não clique em todos os links que aparecem…

  8. Redin says:

    O sucesso na base de ataques tipo phishing está diretamente associado à ocultação de identidade e no livre envio de mensagens para a rede. O projeto P2T tem uma prevenção ativa o que impede qualquer servidor na rede de o poder fazer sem a autorização do destinatário.
    Uma mudança de paradigma: retirar a responsabilidade ao destinatário e colocar no remetente.

    • Joao Ptt says:

      Se entendi bem o conceito do Anti-Spam P2T:

      “A sua conta Paypal foi atacada. Proteja a sua conta aqui.”
      Remetente: paypal@paypal-client-protection.com

      Quanto quer apostar que vai haver imensa gente a receber o phishing na mesma? E a ir lá ao web site na mesma meter os seus dados de acesso.
      Ah! E tal, mas sabem qual é o domínio… e podem chegar aos ladrões… isto é claro se não tiverem registado via algum computador comprometido e pago com algum cartão de crédito furtado.

      No fundo não previne o phishing por completo, nem provavelmente o spam, coloca mais responsabilidade no utilizador de aceitar as notificações de contacto… e não existindo filtros podem ter milhares de notificações para ter de varrer…
      Mas parece ser bom para reduzir algum tráfego em circulação.

      O que o António Pais necessita é de ficar mais esperto e criar uns serviços tipo jogos online simples ou algo do género e depois exigir que usem um “e-mail” protegido com essa tecnologia P2T, com web sites e endereços diferentes, com todos os idiomas possíveis e imagináveis e fornecer toda essa experiência “livre de spam”, fornecer para os principais Gestores de Conteúdos (WordPress, etc.) extras que permitam interagir com os serviços de e-mail com tais protecções do Anti-spam P2T, assim como extras para os principais programas de e-mail.

      Talvez com oferta para comprovar que funcionar, talvez tenha sucesso a nível global. E nada o impede de cobrar por prestar o serviço tendo eventualmente um patamar mínimo gratuito para as pessoas poderem ver a diferença em utilização real.

      E isso pode ajudá-lo a encontrar problemas na utilização real por parte das pessoas, ou simplesmente colocar a ideia de lado se vir que a aceitação na prática, pelos utilizadores não é boa, e avançar para outra ideia diferente que permita resolver o problema de uma maneira totalmente diferente… e não andar a bater na mesma tecla a vida toda sem que tal alguma vez venha a ser aceite.

      E no fundo não compreendo muito bem qual é a diferença entre o Anti-Spam P2T e algo que já acontece que é enviarem um e-mail ao remetente para confirmar que de facto enviou o e-mail e depois exibirem no destinatário num painel a isso dedicado que em determinado dia/ hora, com determinado assunto e determinado remetente alguém o quis contactar e se deve aceitar/ recusar/ bloquear, já vi isso disponível na Servage GmbH desde pelo menos 2007 (e utilizei durante muitos anos). A única diferença é que não aparecia directamente no interface de webmail/ programa de e-mail mas sim no painel de administração. E além disso eles ainda tinham outras protecções que poderiam ser ligadas/ desligadas conforme o cliente quisesse como as graylists em que o remetente contactava o servidor mas era mandado voltar mais tarde e se voltasse era concedida autorização, e ainda servidores falsos para despistar alguns programas de spam mal programados que existiam na altura e que talvez ainda existam por aí. E claro sistemas de aprendizagem de spam e respectiva classificação.

      • Redin says:

        Boa noite João.
        É natural que não entenda o conceito, mas posso elucidar os seguintes pontos.

        “Quanto quer apostar que vai haver imensa gente a receber o phishing na mesma?”

        Para fazer chegar mensagens aos servidores P2T, terá de obedecer A UMA DE TRÊS regras especificas.
        1 – Usar um servidor com a tecnologia P2T incluída.
        2 – Subscrever o serviço webmail P2T para enviar mensagens.
        3 – Instalar um plugin nos clientes de forma a os tornar compatíveis.

        “e não existindo filtros podem ter milhares de notificações para ter de varrer…”

        As notificações são o menor dos problemas. Elas só chegam se o remetente usar servidores P2T e mesmo assim, para milhões de mensagens enviadas, cada destinatário irá receber uma notificação mas por outro lado, esse remetente terá de ficar com milhões de mensagens para gerir no seu servidor. O controlo é feito na OUTBOX. O desconforto fica no lado do remetente.

        “E nada o impede de cobrar por prestar o serviço tendo eventualmente um patamar mínimo gratuito para as pessoas poderem ver a diferença em utilização real.”

        Os clientes alvo deste novo modelo serão exclusivamente os provedores de email. Não está previsto cobrar qualquer valor aos utilizadores

        • Joao Ptt says:

          Os spammers são conhecidos por adoptar as novas tecnologias e explorar as suas falhas ao máximo possível, alguns textos que tenho lido dizem claramente que vêm spammers a programar e definir melhor as supostas protecções que existem relacionadas, que a maior parte dos serviços legítimos.

          Claro que o que os spammers vão fazer é os seus servidores P2T (se algum dia se tornassem comuns) e depois toca de enviar para as mesmas listas notificações que mal fossem aceites resultavam no envio daquela mensagem à qual se referia a notificação.

          Se a solução é patenteada então o resto da indústria (estou a pensar nas soluções opensource) nunca irá adoptar (a menos que a patente expire) e o P2T está condenado ao insucesso mesmo podendo parecer-lhe a si e a muitos outros uma excelente ideia, porque simplesmente os operadores não podem adoptar algo que não possa funcionar sem grande inconveniente para os utilizadores ou vão tê-los a reclamar ou mesmo a abandonar os seus serviços se não conseguirem receber as mensagens.

          Estar à espera dos fornecedores de serviço de e-mail para adoptar tal sistema parece-me que não está a resultar lá muito bem… pelo menos ainda não vi isso em lado algum em serviços de e-mail. Suspeito que nunca vou ver.

          Se não colocar isso em prática por si mesmo de forma a ser possível a qualquer um usar na prática, duvido que outros lhe peguem. As pessoas têm de ver isso a funcionar, ficar bem impressionadas, para depois pressionarem os seus operadores de e-mail a adoptar, não me parece que vá ser adoptado de outra maneira… e ainda assim seria de forma lenta… em especial porque os filtros hoje em dia são tão eficazes e não implicam a interacção dos utilizadores na maior parte das vezes.

          Admito contudo que possa estar completamente errado, e a tecnologia estar a ser adoptada por toda a parte e ter sido só eu que não dei por nada, mas parece improvável.

  9. Joao Ptt says:

    Infelizmente nem os certificados de Validação Extensa (EV) garantem que se esteja no web site certo, isto porque muitas vezes é possível registar o mesmo nome, até no mesmo país, desde que o ramo de actividade seja diferente. E de qualquer das formas até estes devem desaparecer por completo já que os browsers estão a removê-lo da indicação visual.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.