Como descobrir um site falso, fraudulento ou inseguro?

Da mesma forma que a Internet representa uma série de facilidades, benefícios e vantagens, há também o outro lado, dos problemas, dos riscos e das ameaças. Nesse campo, um dos problemas mais comuns está relacionado aos sites falsos, fraudulentos e inseguros.

Em muitos casos, o acesso a esse grupo de sites pode significar problemas diversos aos seus visitantes e por essa razão, preparamos o presente guia que pretende tornar fácil a identificação de um site quanto ao provável nível de risco que ele pode oferecer.

Quais tipos de ameaça um site pode conter?

Lamentavelmente a quantidade ou variedade de ameaças que um site pode conter, é bastante extensa, uma vez que a diversidade de técnicas utilizadas para enganar o usuário, bem como o número de ameaças virtuais, também é grande.

É importante ter em mente que quando nos referimos a ameaças virtuais, estamos tratando desde as ações aparentemente menos danosas, como por exemplo, a obtenção de dados pessoais, até golpes que provocam prejuízos financeiros.

Há quem pense que apenas preencher um cadastro com seus dados, pode não ser algo que ofereça algum nível de ameaça ou problema. No entanto, dependendo de quais dados foram compartilhados, eles podem ser usados para um grande número de golpes ou fraudes virtuais.

No outro extremo da escala de problemas, há as perdas financeiras, que podem ser importantes, seja pela compra de produtos em sites falsos ou o fornecimento de dados do cartão de crédito ou ainda a infecção do dispositivo de acesso com um ransonware e que consiste de uma classe de malware que realiza a criptografia dos arquivos pessoais, os quais só podem ser novamente acessados mediante o pagamento de um resgate.

Novas técnicas, que fazem uso de engenharia social e dos hábitos e comportamentos das pessoas no uso da Internet, bem como brechas e características das tecnologias usadas na rede mundial de computadores, contribuem para que a variedade de golpes cresça continuamente.

O que é engenharia social?

Engenharia social no âmbito de segurança da informação, corresponde ao uso de características comportamentais e das relações sociais entre as pessoas, para afetar o que é considerado um dos elos mais vulneráveis do funcionamento de um sistema – o ser humano.

Alguns dos aspectos comportamentais que são explorados, são:

  • Curiosidade – faz uso da curiosidade natural do ser humano, a qual desencadeia uma ação que é necessária para o golpe, como por exemplo, clicar em um link que vai revelar uma informação que se deseja obter;

  • Confiança – essa técnica leva em consideração que as pessoas tendem a confiar em pessoas do seu relacionamento, celebridades, empresas e marcas conhecidas e assim tornem-se negligentes ou não adotem medidas para se resguardar;

  • Urgência – a necessidade de rapidez ou a pressa, a economia de tempo, e os prazos reduzidos que as pessoas têm para realizar algo, são um tipo de artifício usado para que a vítima desconsidere as possíveis consequências de realizar a ação desejada pelo ataque, simplesmente porque tem urgência para concluir algo;

  • Preguiça – o caminho de menor esforço e até mesmo a preguiça em sua pior forma, que é quando se tem resistência ao que é trabalhoso, é outra característica humana explorada, por meio de oferta de alternativas mais simples ao que atualmente se faz;

  • Solidariedade – apelar ao bem-estar do próximo, à compaixão, à bondade, à empatia, é uma técnica também bastante usada no sentido de evitar a cautela e a desconfiança das vítimas;

  • Conhecimento – na verdade busca amparar no desconhecimento que muitos usuários têm de muitos golpes e na falta de humildade para assumir algum nível de ignorância sobre o assunto;

  • Necessidades – trabalha baseando-se no suprimento de necessidades básicas do indivíduo, tais como autoestima, realização, relacionamentos, necessidades fisiológicas, sucesso, etc, para motivar a vítima a adotar a ação desejada;

  • Vantagens – a promoção imperdível, o ganho acima da média, a oportunidade única, são exemplos de situações que motivam o usuário a realizar sem muito questionamento a ação proposta, tendo como justificativa a vantagem que será obtida.

Além desses comportamentos, a engenharia social apoia-se em outros fatores e que também servem de sustentação de outros problemas da Internet, como as fake news. Afinal, quantas pessoas tomam decisões baseadas em informação – no caso desinformação – que consta nas suas redes sociais e as admitem como verdadeiras e sem questionamento?

10 dicas para identificar um site falso, fraudulento ou inseguro

Antes de mais nada, é importante destacar que alguns dos aspectos que listamos a seguir, isoladamente podem não significar que o site em questão é necessariamente falso, fraudulento ou inseguro.

Nem tampouco, que a ausência de todos os sinais, que automaticamente o site é autêntico e seguro.

Quanto mais itens forem confirmados, maior é a probabilidade de que o site acessado oferece algum nível de ameaça.

Também convém salientar que algumas dicas são melhor aplicáveis por meio do acesso feito por um desktop ou notebook, devido a características de visualização e funcionamento de sites nesse tipo de dispositivo. A responsividade ou visualização mobile, pode dificultar ou mesmo impedir algumas verificações.

1. Verifique o link / URL

É bastante comum que sites falsos possam ser identificados a partir do link ou URL que conduz ao acesso da página falsificada.

As principais pistas são:

  • Erros ortográficos – na tentativa de iludir visualmente, especialmente os mais distraídos, são registrados domínios que se assemelham ao domínio do site o qual se pretende falsificar. Assim, por exemplo, uma URL como “http://www.app1e.com” ou “http://www.amaz0n.com”, “esconde” sua falsidade ao substituir o “l” por “1”, no caso do primeiro exemplo, e “o” por “0”, no caso do segundo. Os menos atentos podem não perceber a diferença;

  • Uso de outras extensões – a disponibilidade de registro de domínios usando novas extensões de domínio, possibilitou que se criem domínios semelhantes, diferindo dos originais apenas pela extensão. É comum que especialmente as grandes empresas tenham registros do seu domínio principal também com outras extensões, mas geralmente também, quando é o caso, há redirecionamento para o principal quando se acessa por outra extensão;

  • URLs muito grandes – na tentativa de ocultar algum problema no endereço da página, alguns usam URLs muito extensas, de forma torná-la menos legível. Na dúvida, selecione, copie e cole o link no bloco de notas ou outro aplicativo similar, amplie o tamanho da fonte e analise o endereço.

  • Verificador de URLs – há serviços de verificação de URLs que usam ferramentas online e bancos de dados para identificar a presença de ameaças (ex: malwares) nos sites fornecidos:

No caso de ter recebido um link por e-mail, por SMS ou um compartilhamento em uma rede social, a maior parte dos navegadores web, ao posicionar (sem clicar) o ponteiro do mouse sobre o link, exibe o endereço correspondente ao link na parte inferior esquerda da janela.

Na dúvida, clique com o botão direito sobre o link e use a opção “copiar link”, colando-o a seguir no bloco de notas para melhor visualização e avaliação.

2. Verificação de Selos

Muitas dicas de segurança mencionam que a presença de selos de segurança são indicadores de que o site é autêntico ou que é seguro.

Esse não é um critério confiável. Apesar de quase todo site seguro tê-los, incluir uma imagem de um selo e até mesmo vincular um link que pode até levar à página principal do respectivo site, é razoavelmente simples e não implica necessariamente que há um protocolo de segurança associado.

Como muitos sites falsos têm uma “vida” curta, ou seja, são mantidos ativos por poucos dias, algumas vezes quando a empresa de segurança que recebeu um link vinculado a um selo descobre o link externo, o site já fez um razoável número de vítimas e pode nem mais estar ativo.

3. Cheque a política de privacidade

Todo site legítimo, autêntico e sério, tem uma política de privacidade. Esse inclusive acaba sendo um requisito da vigência da LGPD.

Muitos sites falsos ou fraudulentos não têm uma. Nesse caso, deve-se desconfiar.

Por outro lado, a existência de uma política de privacidade não necessariamente deve ser interpretada com garantia de que se trata de um site seguro e/ou legítimo. Na tentativa de conferir credibilidade, alguns sites fraudulentos simplesmente copiam as políticas de outros sites, mas como geralmente elas são extensas e pouquíssimas pessoas as leem, as alterações para ajustar a política ao site falso, não são feitas.

Por essa razão, naqueles em que há uma política de privacidade que foi copiada de outro site, podem haver dados que denunciam a manobra.

Mas mesmo essa verificação ainda não é garantia absoluta, pois a política eventualmente copiada, pode ser do site que foi falsificado.

No caso de sites de e-commerce, também busque e analise outras políticas, como a de devolução, entregas e similares, valendo as mesmas observações que devem ser feitas quanto a política de privacidade.

4. Procure pelo HTTPS

Há algum tempo praticamente todo site usa um certificado SSL, o qual transforma o acesso HTTP, em HTTPS.

Em outras palavras, em vez de usar o protocolo de Internet HTTP, que é inseguro, pois possibilita que as informações trocadas entre o usuário e o site, estejam legíveis se interceptadas, adiciona uma camada de segurança fazendo uso de criptografia.

A simples presença do HTTPS, não é uma garantia quanto à segurança do site. Todavia, a sua ausência é indicativo que ele não é seguro.

A verificação da presença do HTTPS, é feita observando-se a URL no campo de endereço do navegador, que tem a forma https://www.dominio.com.br, como também pela presença de um ícone representativo de um cadeado ao lado.

Ao se clicar no cadeado, são exibidas informações do certificado. Clicando-se novamente em “A conexão é segura”, se for uma certificação de segurança para sites do tipo EV, também deve aparecer a razão social da empresa para a qual o certificado foi emitido.

Esse tipo de certificado (EV ou Extended Validation), para ser emitido pela CA (Autoridade Certificadora), exige comprovação de dados mínimos da empresa e documentação, como razão social, CNPJ e endereço, o que acaba por no mínimo assegurar a identidade por trás do site que usa tal certificado, o que não acontece com o mais simples (DV ou Domain Validated) e os gratuitos.

O custo de um certificado EV e as comprovações necessárias para sua obtenção, praticamente garantem que o site que tem esse tipo de certificado, tem uma empresa minimamente séria por trás.

5. Use o WHOIS

Ferramentas de WHOIS – como são conhecidas – são serviços que fornecem informações relativas a um domínio.

Pesquisar o WHOIS de domínios que você não conhece, pode fornecer informações que podem indicar suspeição.

Domínios que foram registrados há pouquíssimo tempo, são um fator para desconfiança. Não que necessariamente um novo site, de uma nova empresa, obrigatoriamente seja suspeito, falso ou esconda alguma fraude.

Porém bons sites, de empresas confiáveis, levam tempo para serem projetados, desenvolvidos e se consolidarem.

Além disso, o WHOIS também pode revelar outras informações relativas a quem está por trás do site e que podem servir para pesquisar sobre a empresa, seu histórico, o atendimento que presta, eventuais reclamações e até mesmo ausência de histórico e/ou reputação digital, o que também é um importante indicador.

6. Pesquise no Google / Bing

Realizar uma pesquisa no Google ou no Bing, tanto pela URL, quanto pelo nome fantasia da empresa, razão social, nome do site, pode revelar reclamações e eventuais problemas que outros usuários / visitantes do site tenham tido.

Da mesma forma que outras dicas, a ausência de informações pode indicar tanto que não há nenhuma reputação digital – o que pode ser preocupante – como também que se for uma nova ação e assim as possíveis vítimas ainda não se manifestaram.

Ausência de histórico também pode revelar pouca / nenhuma atividade comercial, ou início das atividades, o que não obrigatoriamente depõe contra o site e a empresa associada, mas deve ser motivo para ficar atento.

7. Sinais no próprio site

Alguns sites maliciosos ou fraudulentos apresentam alguns sinais que devem produzir desconfiança:

  • Erros ortográficos e gramaticais – boas empresas e bons sites preocupam-se e investem tempo e trabalho a fim de oferecer um conteúdo de qualidade, bem produzido e de acordo com a norma culta da língua. Eventualmente um erro é admissível, porém nos casos em que eles são frequentes, deve-se ficar alerta;

  • Exageros visuais – profusão de imagens, itens piscando aqui e ali, exagero no tamanho e na cor das fontes, principalmente com o objetivo de induzir ou mesmo forçar o visitante a uma ação, é motivo para desconfiança;

  • Pop-ups e mensagens – muitas janelas, mensagens, alertas e pop-ups sendo exibidos, são frequentes em sites com malwares. Saia deles imediatamente, limpe o cache do navegador e rode um antivírus;

  • Redirecionamentos – redirecionamentos e abertura de outros sites em novas guias / abas do navegador, também são frequentemente associados com sites maliciosos. Assim, como no sinal anterior, feche o navegador, limpe o cache e execute um antivírus com verificação completa;

  • Informações adicionais – sites falsos ou fraudulentos também costumam ser negligentes em páginas como “quem somos” ou quaisquer informações institucionais, histórico, links para seus canais nas redes sociais. A ausência desse tipo de informação, deve suscitar desconfiança.

8. Tente contato com a empresa

Busque no próprio site informações de contato, especialmente endereço e telefone. Boa parte dos sites falsos, ou não têm tais dados, ou quando têm, eles não correspondem aos dados reais.

Essas informações também devem ser cruzadas com as obtidas na pesquisa de WHOIS, bem como na pesquisa no Google ou BING.

Geralmente ao se telefonar para os números telefônicos, não se consegue concluir o contato por algum tipo de problema.

Na contramão disso, os bons sites de boas empresas, oferecem uma ampla gama de canais de atendimento e que devem ser todos funcionais.

9. Consulte a hospedagem utilizada

Como outras dicas, essa isoladamente não garante nada, mas pode ser uma pista a ser observada, afinal bons sites são hospedados em boas empresas de hospedagem. Os melhores e maiores, investem pesado, usam um CDN, um serviço de Cloud Computing e outros recursos, que podem ser verificáveis por exemplo, consultando os DNSs do domínio e usando ferramentas como Pingdom Tools e Gtmetrix.

Já os sites que são criados com propósitos questionáveis, geralmente são hospedados em empresas pequenas e desconhecidas, cujos planos de hospedagem são baratos e há pouca ou nenhuma preocupação por parte do hosting quanto a verificações de segurança.

Na HostMídia por exemplo, há procedimentos permanentes que visam avaliar todos os sites novos que são hospedados em relação a muitas das dicas aqui abordadas, como a verificação do domínio, presença de conteúdo malicioso, phishing, entre outros aspectos para garantir que o ambiente de hospedagem esteja seguro para outros clientes e os eventuais visitantes de todos os sites hospedados.

10. Use o PROCON

Os sites do PROCON de vários estados regularmente são atualizados com listas de sites que devem ser evitados, com base nas reclamações de várias naturezas notificadas por diferentes usuários.

Por exemplo, no caso do PROCON de São Paulo, a lista contém o endereço do site, a empresa, o CNPJ ou CPF ao qual está vinculado o site, seu status (online ou offline) e a data de inclusão, sendo possível ordenar por qualquer dessas informações.

Conclusão

Sites falsos, fraudulentos ou que ocultam algum tipo de ação maliciosa, algumas vezes apresentam características que podem ajudar a identificá-los. Ao seguir algumas dicas, é possível diminuir sensivelmente as chances de ser prejudicado realizando uma ação potencialmente negativa.

Comentários ({{totalComentarios}})