De acordo com a empresa de segurança Trend Micro, o Brasil fica atrás somente dos Estados Unidos quando se fala em ataques de phishing HTTPS. O terceiro lugar ficou com o Japão.

O levantamento da empresa descobriu um caso em que vários usuários procuraram a versão segura de um site de jogos, mas eram direcionados para um site de phishing. Segundo estimativa da Trend Micro, a expectativa é de que o número de sites de phishing dobre nesta última parte do ano, devido à temporada de feriados.

Uma das razões para esse aumento é que é fácil para os cibercriminosos criarem sites que usam HTTPS: eles podem comprometer sites que já usam HTTPS, ou usar sites legítimos de hospedagem ou outros serviços que já utilizam HTTPS. Para isso, eles não precisam adquirir seu próprio certificado SSL.

Muitas vezes, em ataques de phishing em dispositivos móveis, buscar o “HTTPS” e o ícone do cadeado na barra de endereços antes de fornecer qualquer tipo de credenciais não é o suficiente. Alguns dos navegadores em dispositivos móveis não necessariamente mostram o cadeado que representa o SSL facilmente. Por exemplo, o navegador do Windows para dispositivos móveis (Internet Explorer), mostra o ícone do cadeado, mas os usuários não podem clicar sobre ele para ver os detalhes do certificado.

Para detectar se um determinado site é um site de phishing, os usuários precisam verificar a validade do certificado e procurar pelo nome para o qual ele é emitido, normalmente o mesmo nome do domínio. Na imagem abaixo, mobile.paypal.com é o nome para o qual o certificado foi emitido e a organização é a Paypal, Inc. O certificado do site de phishing não tem essas características.