O Google recentemente anunciou que melhoraria o ranking de busca de sites HTTPS em seu motor de busca. Isso pode incentivar os proprietários de sites a mudar de HTTP para HTTPS, e também os cibercriminosos. Os países mais afetados onde há mais visitas a sites de phishing HTTPS são Estados Unidos, Brasil e Japão.
Recentemente, a Trend Micro descobriu um caso em que usuários buscavam a versão segura de um site de jogos, mas eram direcionados a um site de phishing. A empresa pesquisou os sites de phishing que usavam HTTPS e foram bloqueados pela tecnologia de reputação web da Trend Micro entre 2010 e 2014. Com base nessa investigação, é possível perceber que o número de sites de phishing está aumentando e a expectativa é que dobre nesta última parte do ano, devido à temporada de feriados.
Figura 1. Número de sites de phishing usando HTTPS entre 2010 e 2014
Uma das razões para esse aumento é que é fácil para os cibercriminosos criarem sites que usam HTTPS: eles podem comprometer sites que já usam HTTPS, ou usar sites legítimos de hospedagem ou outros serviços que já utilizam HTTPS. Não há a necessidade de adquirir seu próprio certificado SSL, uma vez que eles abusam e ou comprometem servidores que têm certificados válidos.
Esta técnica de aproveitamento relacionado também pode ser vista em phishing para dispositivos móveis. Recentemente, a Trend Micro encontrou uma página de phishing relacionada ao Paypal, que empregava HTTPS e certificados válidos. Aparentemente, a página falsa estava hospedada em um site legítimo, o que sugere que o mesmo foi comprometido.
Para detectar se um determinado site é um site de phishing, os usuários precisam verificar a validade do certificado e procurar pelo nome para o qual ele é emitido, normalmente o mesmo nome do domínio. Na imagem, mobile.paypal.com é o nome para o qual o certificado foi emitido e a organização é a Paypal, Inc. O certificado do site de phishing não tem essas características.
Figuras 2 e 3. Imagens de um site legítimo (esquerda) e um site de phishing (à direita)
Neste ataque de phishing em dispositivos móveis, buscar o "HTTPS" e o ícone do cadeado na barra de endereços antes de fornecer qualquer tipo de credenciais não é o suficiente. Alguns dos navegadores em dispositivos móveis não necessariamente mostram o cadeado que representa o SSL facilmente. Por exemplo, o navegador do Windows para dispositivos móveis (Internet Explorer), mostra o ícone do cadeado, mas os usuários não podem clicar sobre ele para ver os detalhes do certificado.
Conforme mais e mais sites usam SSL devido ao aumento que ele proporciona nos rankings de busca do Google, os usuários terão que tomar consciência de que o cadeado do HTTPS não é mais um sinal de que estão visitando um site seguro. Eles devem, primeiramente, verificar a validade do certificado, antes de prosseguir para a inserção de credenciais e informações de identificação pessoal. Além disso, também é recomendável que não sejam realizadas transações, a não ser em aplicativos autorizados e de fontes legítimas em dispositivos móveis.