Há sites que mostram o cadeado em baixo e não estão a correr em SSL, iludindo muitas pessoas.rapazes... não é truques é apenas senso comum.
Especialmente a terceira... nunca mas NUNCA se utiliza dados de acesso privados (que sejam importantes) sem terem o browser a correr em SSL (o tal cadeadinho embaixo)
Há sites que mostram o cadeado em baixo e não estão a correr em SSL, iludindo muitas pessoas.
Olham para a barra e pensam que é seguro, até porque no URL aparece https.. mas esquecem-se de clicar mesmo no cadeado para confirmar. A intenção é chamar a atenção para esse pormenor
Especialmente a terceira... nunca mas NUNCA se utiliza dados de acesso privados (que sejam importantes) sem terem o browser a correr em SSL (o tal cadeadinho embaixo)
em principio é seguro
O ponto 2 do post é parvoeira completa. Não apanhei até hoje um unico site de phishing que aceitasse a password. Por defeito eles dizem sempre que a password está mal, estando ou não. Sinceramente é daquelas coisa básicas. Á segunda tentativa já sofreram um redirect para o site do banco/entidade a sério e a pass funciona. Nesse momento, das duas uma, ou a primeira pass estava realmente errada, ou já a ofereceram aos amigos do alheio. Obviamente, visto que os rapazes da "engenharia social" não são burros, se o povo começar a meter sempre uma pass errada á primeira, basta-lhe redireccionar apenas á 3ª tentativa. Problema resolvido.
Quanto ao ponto 3...
Mais um pensamento errado. O meu webserver de testes tem SSL. Não importa muito que o Certificado seja feito por mim pois não? O Cadeado aparece á mesma... Logo, estares com uma ligação SSL significa muito pouco se não puderes realmente confiar na CA. E quantos são os bowsers que te obrigam a ver o path de certificação completo antes de aceitar o certificado? Pois, tambem pensei o mesmo...
Resumindo, enquanto o povo continuar a usar "receitas" e não quiser saber dos mecanismos em si, o phishing vai continuar de vento em popa. É só inventar coisas novas que não estejam na lista de receitas e os users embarcam todos outra vez.
De qualquer modo, há um método mais eficaz. Leiam esta news. Querem mais simplicidade? Compromete-se a máquina, dropa-se lá um ficheirinho e pronto, os users alegremente vão largando a info.
Na news a bronca é o FF/IE usarem as credenciais que têm guardadas sem checkarem o URL, mas isso é falho. Se o browser não o fizesse sozinho, fazia o user sem sequer pensar no assunto.
Obviamente, comprometer o sistema não é trivial, mas dá resultados muito melhores que os sites de phishing normais.
Eu lembro-me do scam que houve com o Paypal há uns tempos atrás, onde o site apresentado tinha lá o cadeado (só não me lembro se estava fechado ou não) e o https:// no url. Atenção que eu não entrei no site, apenas vi um screenshot da página.Pf mostra-me um com o cadeado fechado claro
EU leio SEMPRE os certificados que aceito... tu não?
A questão não é se lês ou não, é se confias. E eu não confio.
Apenas a titulo de exemplo lembro-te a ocasiao em que alguem na Verisign (IIRC) "deu" um certificado que servia para assinar software, e que, só por acaso, dizia que o soft era Microsoft... Um search rápido leva-nos a Verisign.
Vá, diz lá que te sentes seguro quando dependes de uma 3rd party sob qual nem tu nem a end entity têm controle.
Sabes como funcionam os certificados emitidos para bancos?
Sabes o conteudo de um certificado?
Suponho que estejas a perceber onde estou querer ir...
Si, concordo plenamente. Pelo menos até alguem "subverter" o DNS server que usas e te começar a mandar para páginas realmente bem esgalhadas e obviamente falsas. Não era a primeira ves, não vai ser a ultima. E antes que digas qualquer coisa, não reparaste num certo thread de um certo DNS server alternativo ao dos ISPs? Ninguem disse que tinham más intenções, mas de boas intenções está o Inferno cheio.
Citando um certo jogo, "Trust is a weakness". E lamentavelmente toda a segurança online assenta numa cadeia de trust fundamentalmente falha. E é assim apenas e somente porque "dá jeito". Por cada fraude tens milhões de transações legitimas. Os lucros compensam as percas. Os cartões de crédito são o melhor exemplo disso. Se fosses implementar uma coisa "á séria", ficavas sem 70% dos clientes, porque eles não tinham paciência.
Só gostava era que para os outros 30% houvesse essa alternativa séria de segurança. Há povo que não se importava de ter o trabalho extra se isso significasse que a eventual culpa ficasse estritamente entre o user e a entidade final.