Nos anos 2000, a regra de ouro da internet era inserir dados de cartão apenas em sites com cadeado. Hoje, essa tática está desatualizada: mais de 80% dos sites de phishing também trazem o sinal de criptografia, e a confiança do usuário no símbolo se voltou contra ele.
O que o cadeado realmente significa?
O ícone de cadeado nada mais é do que a garantia de certificados SSL/TLS no site. Isso significa que a conexão entre o computador do usuário e o servidor da página web é criptografada e privada, utilizando o protocolo HTTPS. Imagine um carro forte: é como mandar seu dinheiro no veículo blindado, onde é impossível roubá-lo no meio do caminho.
Porém, o problema fundamental é que isso não garante que o destino final não seja a conta de um golpista. O usuário só vai estar enviando seus dados de mão beijada para os bandidos virtuais de maneira extremamente segura. A criptografia protege o transporte, não o destino.
Como os hackers conseguem o cadeado?
Com o surgimento de autoridades certificadoras gratuitas, como o Let’s Encrypt, qualquer pessoa, mesmo um cibercriminoso, consegue emitir um certificado SSL em questão de cinco minutos. Isso facilita muito a criação de sites falsos que parecem legítimos aos olhos dos navegadores.
Um caso recente, estudado pelos especialistas da GitGuardian, mostrou que mesmo chaves privadas TLS (também conhecidas como “chaves mestras”) ainda vazam em sites como o GitHub. Isso permite que hackers criem clones perfeitos de sites de governos ou bancos, levando ao reconhecimento do usuário como um site oficial, uma tática chamada de spoofing.
Técnicas de Falsificação e Typosquatting
Outra técnica popular é o typosquatting, onde hackers registram domínios quase iguais aos originais, mas substituem caracteres de outros alfabetos que se parecem muito com o latino. O navegador exibe tudo “certo”, incluindo o cadeado da encriptação, mas mal sabe a vítima que se trata de uma página fraudulenta, idêntica à original.
Também é preciso ter cuidado com links patrocinados na busca do Google ou em outros buscadores. É comum que cibercriminosos incluam seus sites falsos, mas com cadeado, nos Google Ads e outros serviços de publicidade. Evite qualquer site no topo das buscas, só entrando depois que os patrocinados acabarem.
Como evitar falsos sites encriptados
Com tudo isso em mente, nunca confie apenas no visual do site. É preciso ler o endereço em busca de erros de digitação sutis e caracteres estranhos, para evitar o typosquatting, além de extensões suspeitas. Também clique no ícone do cadeado, que revela os detalhes do certificado: sites de grandes empresas e instituições costumam trazer a razão social da empresa.
Lembre-se, ainda, que bancos não enviam links com cronômetros dizendo que sua conta será bloqueada em cinco minutos nem outros sinais de urgência extrema. Nunca clique em mensagens suspeitas que exigem ação rápida.
Conclusão: Segurança exige atenção ativa
A segurança digital, atualmente, exige atenção ativa: o cadeado é necessário, mas é apenas o primeiro passo para se proteger. O selo definitivo de confiança vem de várias etapas de verificação, e depende de você, caro internauta.