Por Emily Stark (*)

Uma mensagem sinistra aparece na sua caixa de email: “ A sua conta foi comprometida”. Abre o email e verifica o conteúdo: o e-mail veio do seu contacto normal do seu banco e o logo do banco também aparece na parte inferior e com o reconfortante ícone de um cadeado. Você clica no link e faz log in no website do banco para ver detalhes do problema e saber como recuperar a sua conta.

Há aqui um passo importante que está a faltar. Os especialistas de segurança recomendam que, antes de fazer log in, verifique que está ,de facto, realmente no website do banco bastando para isso olhar para o endereço URL que aparece no seu browser.  Isto garante que não está a dar a sua password a um site que se está a fazer-se pelo site do banco.  Quanto um atacante engana os utilizadores levando-os a partilhar as suas passwords e outra informação sensível estamos na presença daquilo de chamamos de ataque phishing. Os ataques de phishing recorrem habitualmente uma multiplicidade de tácticas para enganar utilizadores e levá-los a entregarem a terceiros a sua informação pessoal. Estas tácticas incluem email escritos cuidadosamente que enganam utilizadores e os levam a clicar em links, a entrar em websites que mimetizam websites fidedignos e a URLs que se parecem muito com URLs de websites reais.

Serviços como a Nevegação Segura da Google ajuda a proteger, diariamente, utilizadores de muitos destes ataques mas, em teoria, o URL de um website deve ser a última linha de defesa contra ataques que a Nevegação Segura não consegue apanhar. Na teoria, verificar o URL de um website –antes de introduzir informação pessoal – pode proteger os utilizadores de serem apanhados. Contudo, entre a comunidade de segurança de informação, é cada vez mais notório de que, na prática, é difícil  aos utilizadores colocarem em prática este conselho.

Mesmo que os utilizadores se lembrem de verificar um URL antes de colocarem lá a sua informação – sejam uma password ou dados do cartão de crédito – URLs podem ser imprevisíveis e cheios de jargões técnicos, tornando difícil aos utilizadores saberem se o URL que estão a ver é o que deveriam ver. Os atacantes recorrem a truques como substituir caracteres semelhantes (“go0gle.com” em vez de “google.com”, por exemplo) para que os utilizadores precisem de inspeccionar, de perto, a URL para perceberem que não estão num website legítimo. Por vezes, os websites de phishing também incluem frases e palavras (“bank-secure-login.com” por exemplo) para enganar os utilizadores e levá-los a pensarem que o website é seguro. Os websites de phishing da mais alta qualidade podem ser indistinguíveis dos websites alvo.

E como os URLs podem ser enganadores e difíceis para os utilizadores os verificarem, a comunidade de segurança está, cada vez mais, a olhar para soluções que automatizam o processo de análise dos sinais de phishing. Por exemplo, os utilizadores deveriam usar gestores de passwords para guardar e criarem passwords para eles. Gestores de Passwords integram-se nos browsers para ajudar a proteger os utilizadoes do Phishing associando cada senha ao website a que ele pertence. Se um utilizador visitar o webiste de phishing, o gestor de passwords não irá preencher a password nesse website e não importa o quanto o website de phishing se parecer com o website de destino fidedigno. Os gestores de passwords têm também outros benefícios de segurança como por exemplo desincentivar a reutilização de passwords em diferentes websites e incentivar os utilizadores a escolherem passwords fortes e difíceis de descobrir.

Além das ferramentas como os gestores de passwords, as empresas de browsers de internet investem fortemente na detecção proactiva de websites de phishing e outros websites maliciosos na web. Os browsers bloqueiam esses websites mostrando avisos aos utilizadores que tentem aceder a eles. É importante que os utilizadores compreendam esses avisos já que é um sinal de que essa empresa de browser de internet encontrou evidências convincentes de que esse website é malicioso.

O Chrome e a Google têm vindo a trabalhar com a comunidade de segurança para melhorar a segurança na web para todos – por exemplo, promovendo a adopção do HTTPPS marcando os websites que não tenham encriptação como websites não seguros e alargando continuamente o serviço de navegação segura  que assinala websites perigosos e que está disponível de forma gratuita e pública. Para tornar a internet segura para todos tornámos os serviços de navegação segura gratuitos e acessíveis publicamente para programadores e outras companhias para utilização nas suas aplicações e browsers como por exemplo no Safari e no Mozilla.

Hoje, metade da população no mundo está protegida pela navegação segura. O gestor de passwords integrado no Chrome é uma ferramenta fantástica para os utilizadores que querem proteger-se de tentativas de phishing

O conselho mais convencional ao nível de passwords tem sido ter uma única usando-se depois uma combinação de letras, números e símbolos. Mas é também importante ter uma única password para websites diferentes. E como isto é difícil memorizar, o gestor de passwords do Chrome passa, agora, a gerar automaticamente e de forma aleatória uma password para se regista em websites pela primeira vez. A password é guardada na sua conta Google de forma segura e com sincronização com as várias versões do Chrome nos seus dispositivos móveis e desktop.  Projectos como este ajudam o Chrome a avançar na sua missão para ser a forma mais segura dos utilizadores navegarem na web.

Sabemos como é importante manter-se informado com os mais recentes conselhos e produtos de segurança e por isso desenhamos as nossas funcionalidade se segurança tendo o utilizador em mente de modo a que os utilizadores podem navegar na Internet de forma segura e conveniente.

(*) Engenheiro de Software da Google

Hoje assinala-se o Dia da Internet mais Segura, mas ainda há muito desconhecimento e indiferença sobre os riscos e ameaças que estão à espreita durante a navegação online. Ao longo do dia, o SAPO TEK tem diversos artigos sobre a temática, entre os comportamentos dos portugueses, dicas para aumentar a segurança online e diversos relatos de especialistas. Acompanhe todos os artigos sobre o Dia da Internet mas Segura aqui.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.