Autoridades Certificadoras emitiram milhares de certificados para sites fraudulentos

Através de um levantamento realizado pela NetCraft, foi possível identificar, que diversos cibercriminosos se utilizaram de certificados digitais válidos para enganar e roubar dados de usuários de internet banking, serviços de pagamento, armazenamento em nuvem, entre outros.

Ao acessar sites que envolvam troca de informações sensíveis, muitos usuários são orientados a procurar o ícone do cadeado verde na url para garantir a segurança de navegação, porém, dessa forma, estamos apenas garantindo a criptografia dos dados trafegados em rede, o que não assegura de forma alguma, a autenticidade do site acessado.

Vejamos um exemplo abaixo:

Fonte: Certified Malice

Podemos observar acima, que ambas imagens possuem o indicador de segurança simbolizado pelo cadeado, no entanto, enquanto na imagem da esquerda temos o site autêntico do PayPal, na imagem da direita, temos um site falso destinado a roubo de credenciais(phishing) dos clientes desse serviço. Além disso, se olharmos atentamente para a url  da imagem à direita, notamos que o “.com” é seguido de um hífen que pode acabar passando despercebido aos olhos de um usuários desatento.

A Netcraft bloqueou cerca de  47 mil ataques de phishing contendo certificado TLS no primeiro trimestre de 2017, sendo 61% deles emitidos pela Let’s Encrypt, e 39% da Comodo. Este cenário está relacionado ao fato de que muitas autoridades certificadoras(CA) emitiram, de forma deliberada, milhares de certificados para nomes de domínios altamente suspeitos. A Netcraft afirma que esse problema é devido à algumas falhas de verificação de segurança por parte das CA’s, e também, ao fácil acesso aos certificados, inclusive sendo possível obtê-los gratuitamente. Em contraponto, algumas autoridades certificadoras argumentam que a prevenção de fraudes não é e nem deveriam ser uma de suas atribuições, pois atualmente existem outras ferramentas automatizadas e desenvolvidas especificamente para prevenir e bloquear esses tipos de ataques.