Nos últimos anos assistimos a uma forte campanha a favor da utilização de ligações seguras, com o Let's Encrypt a facilitar a obtenção de certificados gratuitos. Isso tem permitido criar uma internet mais segura, mas o processo tem também sido usado por todos aqueles que estão na internet à procura de potenciais vítimas, como os sites de phishing.
Os sites de phishing são sites falsos que replicam o aspecto dos sites pelos quais se estão a tentar fazer passar, como o de login numa conta da Google, Facebook ou PayPal; e metade deles também já utiliza ligações seguras HTTPS que poderão contribuir para iludir os utilizadores mais incautos que assumirem que o "cadeado" é sinal de legitimidade.
Importa por isso educar os utilizadores de que uma ligação segura não é garantia de que o site é legítimo; garante apenas que a ligação entre o computador do utilizador e o servidor que está a visitar é segura, mas nada garantindo quanto à questão desse site ser legítimo ou não. Isto torna-se ainda mais complicado no caso de sites que utilizem os "caracteres estranhos" para mascarar o seu endereço real e se fazerem passar pelos sites alvo (mas isso sendo uma questão que os browsers terão que resolver, para manter os utilizadores a salvo dessa táctica - e que também passa por não esconderem partes do endereço).
Não vale a pena tentar culpar a fácil obtenção de certificados e a popularização do HTTPS na web, pois isso contribui de facto para uma maior segurança de todos; mas há que estar consciente de que isto não será a solução mágica para evitar os sites de phishing ou com fins maliciosos. Sites esses que também se vão adaptando e tentando iludir as vítimas da melhor forma possível.
Sem comentários:
Enviar um comentário (problemas a comentar?)