Site

Como saber se um site é seguro ou se ele é falso / fraudulento?

Da mesma forma que a Internet representa uma série de facilidades, benefícios e vantagens, há também o outro lado, dos problemas, dos riscos e das ameaças.

Nesse campo, um dos problemas mais comuns está relacionado aos sites falsos, fraudulentos e inseguros.

Seja qual for o caso e dependendo da razão do acesso, geram a dúvida: “como saber se são seguros?”

Ter 100% de certeza, não é possível. Porém há um conjunto de verificações que podem ser feitas e que ajudam a nos cercar de cuidados e fazer a identificação de um site quanto ao provável nível de risco que ele pode oferecer e assim, evitá-los quando for o caso.

Por que é importante saber se um site é seguro?

A quantidade e a variedade de ameaças existentes no mundo digital, é enorme e só faz crescer.

Mesmo os internautas mais leigos e pouco conhecedores dos riscos, pelo menos já ouviram falar que é preciso cuidado ao navegar digitalmente.

E não é só o risco de ter seu dispositivo infectado por um malware ou pelo que a maioria trata genericamente como vírus.

Os malwares – ou vírus se preferir chamar assim – são apenas uma das muitas possibilidades de ser afetado ao acessar um site desconhecido e que pode representar grandes dores de cabeça a depender da classe de malware que você se deparar, como é o caso do ransomware e que tem representado um dos maiores problemas do gênero.

E quando falamos de segurança dos sites que acessamos, a questão não se limita a oferecer um ambiente de compras seguro. Até mesmo um site que em primeira análise possa não aparentar uma ameaça, pode conter alguma.

Imagine que você chegou a um por uma pesquisa que visava encontrar conteúdos sobre um tema que lhe interessa. Achou um conteúdo rico e que pode responder todas as suas dúvidas a seu respeito, mas para efetuar o download do material, antes é necessário preencher um cadastro.

Há nessa ação aparentemente inocente, tão comum atualmente e possivelmente sem nenhum tipo de consequência, pelo menos dois riscos imediatos: o download feito e o preenchimento do cadastro.

No caso do download, pode haver algum malware. Quanto ao cadastro, tanto os dados podem ser usados indevidamente, como podem sofrer vazamento.

Que fique claro que é apenas uma hipótese, mas que a prática demonstra que é perfeitamente possível de acontecer.

Portanto, certificarmo-nos da segurança dos sites que acessamos, não é necessário apenas quando fazemos compras na Internet.

Também é importante ressaltar que nosso propósito é de diferenciar fraude e insegurança…

Qual a diferença entre um site fraudulento e um inseguro?

Em termos práticos, os impactos negativos para o usuário, podem ser exatamente os mesmos. Porém em um caso podemos estar nos deparando com um criminoso virtual ou apenas mais uma vítima.

Não compreendeu?

Tipicamente um site falso ou fraudulento, é aquele em que há por trás dele um criminoso virtual e que deliberadamente o criou com o objetivo de obter vantagem para si e/ou lesar o visitante.

É o caso de um site que imita uma página de banco para roubar dados bancários ou ainda um site de e-commerce falso, no qual os produtos comprados, não são entregues.

Já um site que é apenas inseguro, é aquele em que o CMS usado ou os plugins, ou ambos, estão desatualizados. Ou aquele que foi desenvolvido com programação própria, mas o programador não adotou boas práticas nem preocupou-se em com medidas rígidas de segurança.

Independente do risco, o administrador seja por falta de conhecimento, seja por negligência, seja até por não ter tido tempo de corrigir uma falha recém descoberta, teve o site invadido ou está vulnerável a exploração e, portanto, tanto ele quanto os seus visitantes estarão expostos.

Quais tipos de ameaça um site pode conter?

Lamentavelmente a quantidade ou variedade de ameaças que um site pode conter, é bastante extensa, uma vez que a diversidade de técnicas utilizadas para enganar o usuário, bem como o número de ameaças virtuais, também é grande, como já mencionamos.

É importante ter em mente que quando nos referimos a ameaças virtuais, estamos tratando desde as ações aparentemente menos danosas, como por exemplo, a obtenção de dados pessoais, até golpes que provocam prejuízos financeiros.

Entre os riscos mais comuns, temos:

Malwares – infecção do dispositivo de acesso com malwares. Dependendo da classe do malware, pode-se ter todos os dados criptografados e, portanto, inacessíveis, que é o caso do ransomware. Mas há malwares que registram o que se digita (keyloggers), fazem prints das telas do que é acessado (screeners), fazem envio de SPAM, fazem compras nas lojas de aplicativos, usam o dispositivo em redes zumbis para ataques DDoS, etc;
Dados pessoais – uso indevido de dados pessoais, que é quando o site não realizou adequação à LGPD ou algumas vezes até parece aos olhos dos visitantes que sim, no entanto, o seu responsável não cumpre a lei, por exemplo, repassando ou vendendo seus dados a terceiros, sem sua ciência e consentimento;
Vazamento de dados – semelhante à anterior, mas com origens diferentes, o vazamento de dados é quando por exploração de uma vulnerabilidade ou como resultado de um ataque, os bancos de dados são acessados por um hacker – na verdade um cracker – e ele utiliza indevidamente os dados;
Redes sociais – conseguir credenciais ou dados de autenticação em redes sociais e que muitas vezes podem ser usadas para acessar outros serviços, como é o caso do Facebook e que é meio de autenticação nas mais diversas plataformas, como jogos e apps;
SPAM – uma simples conta de e-mail é tudo que um spammer precisa saber a seu respeito. Uma vez que seu endereço de correio eletrônico passe a constar de uma lista, o volume de SPAM recebido só tende a crescer;
Perdas financeiras – cartões clonados, compras indevidas e mesmo compras feitas por você, mas cujo produto não é recebido, são outro risco comum ao não identificar um site fraudulento.

Novas técnicas, que fazem uso de engenharia social e dos hábitos e comportamentos das pessoas no uso da Internet, bem como brechas e características das tecnologias usadas na rede mundial de computadores, contribuem para que a variedade de golpes cresça continuamente.

O que é engenharia social?

Engenharia social no âmbito de segurança da informação, corresponde ao uso de características comportamentais e das relações sociais entre as pessoas, para afetar o que é considerado um dos elos mais vulneráveis do funcionamento de um sistema – o ser humano.

Alguns dos aspectos comportamentais que são explorados, são:

Curiosidade – faz uso da curiosidade natural do ser humano, a qual desencadeia uma ação que é necessária para o golpe, como por exemplo, clicar em um link que vai revelar uma informação que se deseja obter;
Confiança – essa técnica leva em consideração que as pessoas tendem a confiar em pessoas do seu relacionamento, celebridades, empresas e marcas conhecidas e assim tornem-se negligentes ou não adotem medidas para se resguardar quando recebem um link ou uma informação de alguém em quem confiam;
Urgência – a necessidade de rapidez ou a pressa, a economia de tempo, e os prazos reduzidos que as pessoas têm para realizar algo, são um tipo de artifício usado para que a vítima desconsidere as possíveis consequências de realizar a ação desejada pelo ataque, simplesmente porque tem urgência para concluir algo;
Preguiça – o caminho de menor esforço e até mesmo a preguiça em sua pior forma, que é quando se tem resistência ao que é trabalhoso, é outra característica humana explorada, por meio de oferta de alternativas mais simples ao que atualmente se faz;
Solidariedade – apelar ao bem-estar do próximo, à compaixão, à bondade, à empatia, é uma técnica também bastante usada no sentido de evitar a cautela e a desconfiança das vítimas;
Conhecimento – na verdade busca amparar no desconhecimento que muitos usuários têm de muitos golpes e na falta de humildade para assumir algum nível de ignorância sobre o assunto. Não raramente faz uso da preguiça em certificar-se de algo;
Necessidades – trabalha baseando-se no suprimento de necessidades básicas do indivíduo, tais como autoestima, realização, relacionamentos, necessidades fisiológicas, sucesso, etc, para motivar a vítima a adotar a ação desejada;
Vantagens – a promoção imperdível, o ganho acima da média, a oportunidade única, são exemplos de situações que motivam o usuário a realizar sem muito questionamento a ação proposta, tendo como justificativa a vantagem que será obtida.

Fazendo uso de tais aspectos, houve época em que um golpe conhecido como Fraude Nigeriana ou Fraude 419, esteve em alta e afetou inúmeros internautas e que usando argumentos e dados fictícios, convencia as vítimas a realizar transferências em dinheiro.

Além desses comportamentos, a engenharia social apoia-se em outros fatores e que também servem de sustentação de outros problemas da Internet, como as fake news. Afinal, quantas pessoas tomam decisões baseadas em informação – no caso desinformação – que consta nas suas redes sociais e as admitem como verdadeiras e sem questionamento?

15 dicas para saber se um site é seguro ou se é falso / fraudulento

Antes de mais nada, é importante destacar que alguns dos aspectos que listamos a seguir, isoladamente podem não significar que o site em questão é necessariamente seja seguro ou que seja falso / fraudulento.

Nem tampouco, a ausência de todos os sinais, que automaticamente o site é autêntico e seguro.

Quanto mais itens forem confirmados, maior é a probabilidade de que o site acessado oferece algum nível de insegurança.

Também convém salientar que algumas dicas são melhor aplicáveis por meio do acesso feito por um desktop ou notebook, devido a características de visualização e funcionamento de sites nesse tipo de dispositivo.

A responsividade ou visualização mobile, pode dificultar ou mesmo impedir algumas verificações.

1. Verifique o link / URL

É bastante comum que sites falsos possam ser identificados a partir do link ou URL que conduz ao acesso da página falsificada.

As principais pistas são:

Erros ortográficos – na tentativa de iludir visualmente, especialmente os mais distraídos, são registrados domínios que se assemelham ao domínio do site o qual se pretende falsificar. Assim, por exemplo, uma URL como “http://www.app1e.com” ou “http://www.amaz0n.com”, “esconde” sua falsidade ao substituir o “l” por “1”, no caso do primeiro exemplo, e “o” por “0”, no caso do segundo. Os menos atentos podem não perceber a diferença;
Uso de outras extensões – a disponibilidade de registro de domínios usando novas extensões de domínio, possibilitou que se criem domínios semelhantes, diferindo dos originais apenas pela extensão. É comum que especialmente as grandes empresas tenham registros do seu domínio principal também com outras extensões, mas geralmente também, quando é o caso, há redirecionamento para o principal quando se acessa por outra extensão;
URLs muito grandes – na tentativa de ocultar algum problema no endereço da página, alguns usam URLs muito extensas, de forma a torná-las menos legíveis. Na dúvida, selecione, copie e cole o link no bloco de notas ou outro aplicativo similar, amplie o tamanho da fonte e analise cuidadosamente o endereço;
Links encurtados – embora fáceis, práticos e bastante comuns, eles podem ocultar uma armadilha, quando o seu uso tem por objetivo não revelar o verdadeiro domínio;
Verificador de URLs – há serviços de verificação de URLs que usam ferramentas online e bancos de dados para identificar a presença de ameaças (ex: malwares) nos endereços fornecidos:

No caso de ter recebido um link por e-mail, por SMS ou um compartilhamento em uma rede social, a maior parte dos navegadores web, ao posicionar (sem clicar) o ponteiro do mouse sobre o link, exibe o endereço correspondente ao link na parte inferior esquerda da janela e eis mais uma razão pela qual indicamos fazer a verificação em um notebook ou desktop.

Na dúvida, clique com o botão direito sobre o link e use a opção “copiar link”, colando-o a seguir no bloco de notas para melhor visualização e avaliação

2. Verificação de Selos

Muitas dicas de segurança mencionam que a presença de selos de segurança são indicadores de que o site é autêntico ou que é seguro.

Esse não é um critério confiável. Apesar de quase todo site seguro tê-los, incluir uma imagem de um selo e até mesmo vincular um link que pode até levar à página principal do respectivo site, é razoavelmente simples e não implica necessariamente que há um protocolo de segurança associado.

Há algumas vezes, mas nem sempre.

Como muitos sites falsos têm uma “vida” curta, ou seja, são mantidos ativos por poucos dias, algumas vezes quando a empresa de segurança que recebeu um link vinculado a um selo descobre o link externo, o site já fez um razoável número de vítimas e pode nem mais estar ativo.

Portanto, não use esse fator como prova de segurança. Pelo contrário, esse tipo de atitude pode fazê-lo ter confiança quando o ideal é sempre desconfiar.

3. Cheque a política de privacidade

Todo site legítimo, autêntico e sério, tem uma política de privacidade. Esse inclusive acaba sendo um requisito da vigência da LGPD.

Muitos sites falsos ou fraudulentos não têm uma. Nesse caso, mais um motivo para recuar.

Por outro lado, a existência de uma política de privacidade não necessariamente deve ser interpretada com garantia de que se trata de um site que respeita e cumpre a LGPD e muito menos que é seguro e/ou legítimo.

Na tentativa de conferir credibilidade, alguns sites fraudulentos simplesmente copiam as políticas de outros sites, mas como geralmente elas são extensas e pouquíssimas pessoas as leem, as alterações para ajustar a política ao site falso, não são feitas.

Por essa razão, naqueles em que há uma política de privacidade que foi copiada de outro site, podem haver dados que denunciam a manobra.

Mas mesmo essa verificação ainda não é garantia absoluta, pois a política eventualmente copiada, pode ser do site que foi falsificado.

Independentemente de ser legítimo ou não, a preocupação com a privacidade na Internet é algo sério, razão pela qual todo usuário deve começar a ler as políticas, pelo menos dos sites e serviços que são acessados e usados com maior frequência e aqueles nos quais você forneceu seus dados.

No caso de sites de e-commerce, também busque e analise outras políticas, como a de devolução, entregas e similares, valendo as mesmas observações que devem ser feitas quanto a política de privacidade.

4. Procure pelo HTTPS

Há algum tempo praticamente todo site usa um certificado SSL, o qual transforma o acesso HTTP, em HTTPS.

Em outras palavras, em vez de usar o protocolo de Internet HTTP, que é inseguro, pois possibilita que as informações trocadas entre o usuário e o site, estejam legíveis se interceptadas, adiciona uma camada de segurança fazendo uso de criptografia.

A simples presença do HTTPS, não é uma garantia quanto à segurança do site. Todavia, a sua ausência é indicativo efetivo de que ele não é seguro.

A verificação da presença do HTTPS, é feita observando-se a URL no campo de endereço do navegador, que tem a forma https://www.dominio.com.br, como também pela presença de um ícone representativo de um cadeado ao lado.

Ao se clicar no cadeado, são exibidas informações do certificado. Clicando-se novamente em “A conexão é segura”, se for uma certificação de segurança para sites do tipo EV, também deve aparecer a razão social da empresa para a qual o certificado foi emitido.

Esse tipo de certificado (EV ou Extended Validation), para ser emitido pela CA (Autoridade Certificadora), exige comprovação de dados mínimos da empresa e documentação, como razão social, CNPJ e endereço, o que acaba por no mínimo assegurar a identidade por trás do site que usa tal certificado, o que não acontece com o mais simples (DV ou Domain Validated) e os gratuitos.

O custo de um certificado EV e as comprovações necessárias para sua obtenção, praticamente garantem que o site que tem esse tipo de certificado, tem uma empresa minimamente séria por trás.

5. Use o WHOIS

Ferramentas de WHOIS – como são conhecidas – são serviços que fornecem informações relativas a um domínio.

Pesquisar o WHOIS de domínios que você não conhece, pode fornecer informações que podem indicar suspeição.

Domínios que foram registrados há pouquíssimo tempo, são um fator para desconfiança. Não que necessariamente um novo site, de uma nova empresa, obrigatoriamente seja suspeito, falso ou esconda alguma fraude.

Porém bons sites, de empresas confiáveis, levam tempo para serem projetados, desenvolvidos e se consolidarem. Na contramão disso, um domínio registrado há pouco tempo e que leva a um site que faz parecer de sucesso e com muitas visitas, é altamente suspeito.

Além disso, o WHOIS também pode revelar outras informações relativas a quem está por trás do site e que podem servir para pesquisar sobre a empresa, seu histórico, o atendimento que presta, eventuais reclamações e até mesmo ausência de histórico e/ou reputação digital, o que também é um importante indicador.

6. Consultar a situação cadastral do CNPJ na Receita Federal

Entre outras coisas, por força de lei (decreto 7962/2013), todas as lojas virtuais em funcionamento no Brasil devem disponibilizar ao consumidor em local de destaque e de fácil visualização, o nome da empresa, CNPJ ou CPF do vendedor, endereço físico e eletrônico da empresa responsável.

Se não houver tais informações, é no mínimo uma infração legal.

De posse de tais dados e que podem ser cruzados com a pesquisa de WHOIS para atestar a identidade do site e respectiva empresa, você deve consultar o CNPJ n o site da Receita Federal de forma gratuita e imediata antes de efetuar qualquer procedimento.

Por ela é possível situação cadastral da empresa, indicando se a companhia está ativa ou se apresenta alguma irregularidade.

7. Formas de pagamento

Também relacionado com sites de e-commerce, verifique as formas de pagamentos disponíveis.

As empresas de cartão de crédito estão preparadas para verificar operações fraudulentas e costumam incluir mecanismos de segurança para coibir golpes virtuais. O próprio procedimento de concessão do serviço, constitui de etapas e requisitos que ajudam a coibir pelo menos os golpistas mais preguiçosos.

Se por outro lado, as opções de pagamento são reduzidas e principalmente quando as únicas possibilidades são boleto bancário e PIX, é um forte indício de um site falso, pois essas formas de pagamento estão menos sujeitas a mecanismos contra esse tipo de fraude.

8. Quantidade de domínios

Mais um fator relacionado ao anterior, é a quantidade de domínios registrados.

Ter muitos domínios registrados para uma mesma pessoa física ou jurídica, não quer dizer nada em especial. Porém, procure avaliar quais outros domínios estão registrados sob o mesmo titular e que no caso de domínios nacionais, pode ser feito no site do registro.br.

Especialmente quando há muitos domínios vencidos / expirados e não renovados, é motivo de desconfiar. Relembrando que sites falsos ou com intenções dúbias, têm vida curta e assim que seus responsáveis conseguem o que querem, não renovam os domínios.

Realizar o acesso aos demais domínios, também pode dar pistas a respeito, já que se não houver site algum associado, pode ser que já tenham sido removidos sem que tenha ocorrido o vencimento do domínio.

Ainda em relação a eventuais outros domínios, analise os nomes e sua similaridade com aquele que o levou ao registro. Muitos domínios semelhantes, podem ter o propósito de integrar uma rede de sites falsos.

9. Pesquise no Google / Bing

Realizar uma pesquisa no Google ou no Bing, tanto pela URL, quanto pelo nome fantasia da empresa, razão social, nome do site, pode revelar reclamações e eventuais problemas que outros usuários / visitantes do site tenham tido.

Da mesma forma que outras dicas, a ausência de informações pode indicar tanto que não há nenhuma reputação digital – o que pode ser preocupante – como também que se for uma nova ação e assim as possíveis vítimas ainda não se manifestaram.

Ausência de histórico também pode revelar pouca / nenhuma atividade comercial, ou início das atividades, o que não obrigatoriamente depõe contra o site e a empresa associada, mas deve ser motivo para ficar atento.

10. Sinais no próprio site

Alguns sites maliciosos ou fraudulentos apresentam alguns sinais que devem produzir desconfiança:

Erros ortográficos e gramaticais – boas empresas e bons sites preocupam-se e investem tempo e trabalho a fim de oferecer um conteúdo de qualidade, bem produzido e de acordo com a norma culta da língua. Eventualmente um erro é admissível, porém nos casos em que eles são frequentes, deve-se ficar alerta;
Exageros visuais – profusão de imagens, itens piscando aqui e ali, exagero no tamanho e na cor das fontes, principalmente com o objetivo de induzir ou mesmo forçar o visitante a uma ação, é motivo de desconfiar;
Pop-ups e mensagens – muitas janelas, mensagens, alertas e pop-ups sendo exibidos, são frequentes em sites com malwares. Saia deles imediatamente, limpe o cache do navegador e rode um antivírus;
Redirecionamentos – redirecionamentos e abertura de outros sites em novas guias / abas do navegador, também são frequentemente associados com sites maliciosos. Assim, como no sinal anterior, feche o navegador, limpe o cache e execute um antivírus com verificação completa;
Informações adicionais – sites falsos ou fraudulentos também costumam ser negligentes em páginas como “quem somos” ou quaisquer informações institucionais, histórico, links para seus canais nas redes sociais. A ausência desse tipo de informação, deve suscitar desconfiança.

11. Tente contato com a empresa

Busque no próprio site informações de contato, especialmente endereço e telefone. Boa parte dos sites falsos, ou não têm tais dados, ou quando têm, eles não correspondem aos dados reais ou ainda não permitem o contato.

Essas informações também devem ser cruzadas com as obtidas na pesquisa de WHOIS, bem como na pesquisa no Google ou BING.

Geralmente ao se telefonar para os números telefônicos, não se consegue concluir o contato por algum tipo de problema.

Inversamente a isso tudo, os bons sites de boas empresas, oferecem uma ampla gama de canais de atendimento e que devem ser todos funcionais. Dê preferência para o atendimento telefônico, no qual perguntas e um bom tempo de conversa, pode confirmar ou eliminar possíveis desconfianças.

12. Consulte a hospedagem utilizada

Como outras dicas, essa isoladamente não garante nada, mas pode ser uma pista a ser observada, afinal bons sites são hospedados em boas empresas de hospedagem.

Os melhores e maiores, investem pesado, usam um CDN, um serviço de Cloud Computing e outros recursos, que podem ser verificáveis por exemplo, consultando os DNSs do domínio e usando ferramentas como Pingdom Tools e Gtmetrix.

Já os sites que são criados com propósitos questionáveis, geralmente são hospedados em empresas pequenas e desconhecidas, cujos planos de hospedagem são baratos e há pouca ou nenhuma preocupação por parte do hosting quanto a verificações de segurança.

Na HostMídia por exemplo, há procedimentos permanentes que visam avaliar todos os sites novos que são hospedados em relação a muitas das dicas aqui abordadas, como a verificação do domínio, presença de conteúdo malicioso, phishing, entre outros aspectos para garantir que o ambiente de hospedagem esteja seguro para outros clientes e os eventuais visitantes de todos os sites hospedados.

13. Use o MyWOT

O MyWOT está disponível tanto como um site, como extensão para os principais navegadores, como o Chrome, o Edge e Firefox, o qual consiste de um serviço online de reputação e segurança na Internet que mostra indicadores de confiança dos sites que são submetidos.

O WOT é a sigla para Web Of Trust.

Antes mesmo que se realize o acesso, é possível saber por um sistema de cores se o site deve ser evitado, se é preciso manter-se alerta ou se ele é seguro.

São consideradas para a avaliação a presença de qualquer classe de malwares, phishing, fraudes e spam.

14. Versões pagas de antivírus

As principais ferramentas de antivírus da atualidade, além da varredura de conteúdo do dispositivo, oferecem recursos adicionais em suas versões pagas.

As principais fornecem ao usuário alertas de URLs e acessos feitos por meio do navegador, a sites que possam representar qualquer nível de ameaça.

Cada qual tem suas particularidades e algumas podem ser configuradas para não apenas emitir alertas, mas impedir o acesso dependendo do tipo de risco associado e que leva em consideração o histórico do site e as experiências de outros usuários, de forma semelhante ao que é feito ao usar o MyWOT

15. Use o PROCON

Os sites do PROCON de vários estados regularmente são atualizados com listas de sites que devem ser evitados, com base nas reclamações de várias naturezas notificadas por diferentes usuários.

Por exemplo, no caso do PROCON de São Paulo, a lista contém o endereço do site, a empresa, o CNPJ ou CPF ao qual está vinculado o site, seu status (online ou offline) e a data de inclusão, sendo possível ordenar por qualquer dessas informações.

Conclusão

Sites falsos, fraudulentos ou que ocultam algum tipo de ação maliciosa, algumas vezes apresentam características que podem ajudar a identificá-los. Ao seguir algumas dicas, é possível diminuir sensivelmente as chances de ser prejudicado realizando uma ação potencialmente negativa.