VeriSign oferece recomendações sobre como se proteger de ataques “man in the middle”

À medida que surgem novas modalidades dos ataques "man in the middle”, o fornecedor líder de SSL atua para educar usuários finais e empresas.

São Paulo — Em vista de um novo tipo de ataque “man in the middle” (MITM) revelado em Black Hat D.C., VeriSign, Inc.(Nasdaq: VRSN), a fornecedora confiável de serviços de infraestrutura de Internet para o mundo conectado, está fornecendo dicas simples que usuários finais e empresas podem utilizar para impedir as ameaças on-line de maneira eficiente.

O ataque em destaque é a última versão do antigo MITM, que consiste em enganar o usuário para direcioná-lo ao Web site errado. Técnicas comuns para enganar visitantes incluem: e-mails de phishing, redes wireless falsas e, mais recentemente, contaminação de servidores DNS não seguros. O esquema utiliza um servidor fraudulento para interceptar as comunicações entre o navegador de um usuário e um Web site legítimo, e então atua como um proxy, coletando informações confidenciais sobre HTTP (não HTTPS) entre o navegador e o servidor fraudulento.

O que torna este ataque diferente dos antigos MITM é que o site fraudulento tenta se aproveitar de falsas indicações visuais ao substituir, especificamente, o ícone de favorito do site fraudulento pelo ícone do cadeado, que é tradicionalmente reconhecido como indicação visual de que um site está protegido por SSL. Apesar desse esquema ser capaz de reproduzir a imagem do cadeado, ele não é capaz de recriar o indicador HTTPS legítimo ou ainda o sinal mais evidente, a cor “verde” na barra de endereços de navegadores Web de alta segurança, indicando que o site é protegido por um Certificado Extended Validation SSL.

Para ajudar a se proteger de um ataque MITM, a VeriSign oferece as seguintes dicas para usuários finais e empresas.

Usuários finais: Procure a “cor verde”: os ataques “man-in-the-middle” e phishing realizados atualmente podem ser combatidos por meio de Certificados Extended Validation (EV) SSL e da observação da ausência da cor verde na barra de ferramentas do navegador. Os Certificados EV SSL confirmam definitivamente a identidade da organização proprietária do Web site. Criminosos on-line não possuem acesso aos Certificados EV SSL para os sites que estão falsificando e, portanto, não podem copiar a cor verde que indica que um Web site autenticado é seguro.

Faça o download da última versão de navegadores Web de alta segurança, como o Internet Explorer 7 ou superior, FireFox 3 ou superior, Google Chrome, Safari ou Opera.

Utilize dispositivos de autenticação, como tokens ou outras formas de autenticação de dois fatores para acessar contas que contém informações sensíveis e confidenciais.

Trate e-mails de remetentes desconhecidos com um alto grau de ceticismo e não clique em links para acessar sites seguros (digite o endereço Web no navegador).

Empresas: Adote o EV SSL e eduque seus clientes sobre o significado da “cor verde” na barra de ferramentas do navegador. Coloque o Certificado EV SSL em sua home page e em todas as páginas onde uma transação segura ocorra.

Não ofereça logins em páginas que ainda não estão em uma sessão SSL.

Ofereça autenticação de dois fatores para seus clientes como uma forma opcional de acrescentar uma camada adicional deegurança ao acessar suas contas.

Não inclua links em e-mails para clientes e os encoraje a fazerem o download da última versão dos navegadores de sua preferência.

“Embora criminosos on-line estejam utilizando Certificados SSL de baixa autenticação em ataques dos tipos phishing e “man-in-the-middle” há anos, a apresentação na conferência segurança “Black Hat” é um bom lembrete para que usuários finais permaneçam atentos ao realizar transações on-line,” disse Tim Callan, vice-presidente de marketing de produto da VeriSign. “As ameaças à segurança surgem de diversas formas. Permanecer um passo à frente requer um trabalho de educação do usuário final e uma abordagem abrangente de segurança em camadas por parte dos Web sites para ajudar a garantir uma experiência segura aos usuários.”

Perfil da VeriSign - A VeriSign, Inc. (Nasdaq: VRSN) é a fornecedora confiável de serviços de infraestrutura de Internet para o mundo conectado. Bilhões de vezes por dia, a VeriSign ajuda empresas e consumidores de todas as partes do mundo a se comunicar e realizar transações com segurança. | Site www.verisign.com.br