Identifique sites falsos em seis passos

Artigo de Dean Coclin, diretor sênior de Desenvolvimento de Negócios da Digicert:

Na era da transformação digital, saber como identificar sites falsos não é apenas útil; é absolutamente necessário para se proteger online. Saber como localizar um site fraudulento pode proteger sua identidade pessoal e profissional, suas informações financeiras e logins de seu e-mail e mídia social.

As fraudes por e-mail dispararam no Brasil nos últimos meses, grande parte por conta da pandemia. Com mais pessoas em casa, usando mais telefones celulares e computadores para fazer compras e transações bancárias, os golpistas aproveitam para fazer novas vítimas. É o que mostra pesquisa da Febraban. Entre janeiro e fevereiro de 2021, houve um aumento de 100% nos ataques de phishing em relação ao mesmo período de 2020.

Na América Latina, um estudo da Microsoft e da Marsh mostra que mais de 30% das empresas na América Latina perceberam um aumento nos ataques cibernéticos como resultado da covid-19. O phishing é considerado o principal risco para as organizações.  No México, no ano passado, a Guarda Nacional desativou mais de 5.000 páginas da web falsas que se faziam passar por agências governamentais do país, bem como lojas de departamentos e até um time de futebol.

Para você não cair em golpes como esses, é essencial saber como identificar sites fraudulentos. Montei aqui um passo a passo para ajudar você nessa tarefa.

Como verificar um site

1. Verifique se o URL está com erros ortográficos

Um indicador importante de um site falso é uma URL com erros ortográficos – isso mesmo! Erros de ortografia. Os criminosos costumam alterar um pouco o nome de um URL, como usar amaz0n.com, ou podem alterar a extensão do domínio – como amazon.org em vez de amazon.com.

2. Verifique os selos

Um selo de site indica que ele é autêntico e, geralmente, você pode clicar nele para revelar mais informações sobre a página e como ela foi verificada.

3. Olhe além da fechadura

O cadeado significa que um site é protegido por um certificado TLS / SSL que criptografa os dados do usuário. Você pode procurar o cadeado no canto superior esquerdo da barra de endereço. Existem três tipos de certificados TLS: Validação de Domínio, Validação de Organização e Validação Estendida.

● Certificado de Validação de Domínio: verifica a propriedade do domínio. No entanto, os certificados DV não fornecem informações de identificação organizacional. Portanto, não é recomendável usar certificados DV para fins comerciais.

● Certificado de Validação da Organização: as organizações são autenticadas pela CA (autoridade de certificação) em bancos de dados oficiais de registro de empresas. Este é o tipo de certificado padrão recomendado para um site comercial ou público.

● Certificado de Validação Estendida: contém etapas de validação adicionais e oferece o mais alto nível de autenticação para proteger sua marca e seus usuários. As CAs podem exigir determinados documentos e contato pessoal para garantir que os certificados EV contenham informações comerciais legítimas. Eles são usados ​​pelas principais organizações do mundo para garantir a confiança do usuário, dando alta confiança de que o site é autêntico e de propriedade da entidade com a qual acreditam estar fazendo transações.

Se um site não tiver proteção por um certificado TLS /SSL, a maioria dos navegadores exibirá um aviso de “não seguro”. No passado, simplesmente procurar o cadeado era suficiente, mas com o aumento das fraudes online, você precisa olhar além para se resguardar.

4. Site seguro X site fraudulento
O cadeado significa que as informações em um site são criptografadas e os navegadores irão considerá-las seguras. Só porque um site tem um cadeado não significa necessariamente que ele não seja falso. Pesquisas mostram que até metade dos sites falsos usados ​​para phishing agora têm um cadeado.
Normalmente, os fraudadores usam certificados DV: certificados TLS de baixo nível que algumas Autoridades de Certificação (CA) oferecem gratuitamente, de forma que eles só precisam provar que são donos do site para obter um certificado. Com os certificados DV, eles não precisam provar que a empresa é legítima. Às vezes, criminosos podem usar um certificado OV ou EV, mas como eles exigem mais dados para obtenção, incluindo comprovar o registro de uma empresa, pagar com um cartão de crédito válido e responder a consultas de CA, a maioria dos criminosos não consegue utilizá-los.
Sites falsos que usam certificados TLS geralmente são detectados, mas podem causar estragos até serem desativados
5. Clique no cadeado e entenda as informações
Você deve olhar além do cadeado clicando nele uma vez para revelar mais informações. Se o site tiver o nível mais alto de autenticação, ao clicar no cadeado, será exibida a seguinte mensagem: “Emitido para: [Nome da empresa]” abaixo de “Certificado (válido).” Infelizmente, essa funcionalidade só funciona atualmente em navegadores de desktop. Mas, se você estiver no navegador do celular, consegue descobrir seguindo as orientações do tópico.
6. Teste a página com um verificador de sites
Em caso de dúvida, use um verificador de sites para saber se ele é seguro ou não. Uma verificação de página segura pode informar sobre quaisquer vulnerabilidades no site, se ele está usando criptografia e qual o nível de verificação dele.
Outras maneiras de verificar um site
Além de verificar se há algum bloqueio, o selo do site e executar a URL por meio de um verificador de site, procure também os seguintes indicadores de confiança em um site:
● Política de privacidade
● Política de devolução
● Dados de contato da empresa, como número de telefone e endereço
● Ortografia e gramática corretas
● Avaliações on-line (simplesmente dê um Google “avaliações de [nome do site]” para encontrar feedback on-line)
Em geral, evite quaisquer negócios que pareçam bons demais para ser verdade, porque provavelmente são golpes.
O que fazer se encontrar um site fraudulento
Se você acessou um site fraudulento, não forneça informações confidenciais, como detalhes financeiros, login e senha, códigos de verificação, login do Facebook ou mesmo seu nome e informações de contato. Em caso de dúvida, não o preencha. Além disso, não clique em links de e-mails desconhecidos, postagens online ou DMs.

E não se esqueça! Você deve denunciar um site falso para o Google Safe Browsing e fechá-lo imediatamente.

Deixe uma resposta