No início de abril deste ano, uma empresa russa especializada em segurança digital afirmou que um banco brasileiro de grande porte teria sido atacado em outubro de 2016. Segundo a empresa, os criminosos sequestraram o domínio online da instituição financeira e, por algumas horas, redirecionaram os clientes para páginas falsas que imitavam as funções do banco. Com isso, teria sido possível obter os dados bancários dos clientes.
Apesar dos rumores sobre qual banco teria sofrido o ataque, a assessoria da Kaspersky, a empresa em questão, disse à reportagem que “em nenhum momento a empresa divulgou e nem pretende divulgar o nome da instituição”.
O que mais chama atenção em toda essa história, principalmente no que se refere às pequenas e médias empresas, é o grau de sofisticação do ataque. Segundo especialistas, no incidente em questão com o banco, os hackers foram capazes de emitir um certificado digital em nome do banco, o que foi a etapa inicial para todo o ataque.
Basicamente, os certificados garantem a identidade do servidor com o qual o usuário está conectado. Num exemplo prático, os certificados verificam se o cliente está acessando o site verdadeiro do “Banco X”, quando ele digita o endereço “bancox.com.br” no navegador. Além disso, eles também garantem a segurança dos dados trafegados na conexão entre o computador do usuário e o servidor da empresa. Ainda no exemplo anterior, é como se eles mantivessem protegidos as informações da conta do cliente, quando ele as digita para fazer login no sistema do banco.
Esse tipo de segurança é muito importante não apenas para bancos, mas também para lojas virtuais. Os certificados digitais são amplamente utilizados em sites de e-commerce, pois, em teoria, garantem mais segurança para as informações que o cliente envia para a loja — como, por exemplo, seus documentos ou os dados do cartão de crédito.
Onde estão os riscos? Para conseguir um certificado digital, uma empresa precisa contratar uma certificadora que irá verificar os requisitos mínimos para a emissão do comprovante de identidade. Segundo Mauricio Balassiano, diretor da unidade de negócios de certificação digital da Serasa Experian, o processo acontece da seguinte maneira: “Uma vez que um cliente solicita um certificado para o seu site, nosso papel é confirmar se a pessoa que fez a solicitação, de fato, trabalha na empresa e pode fazer esse pedido. Em seguida, nós conferimos se a empresa é, realmente, dona do domínio que ela quer certificar. A partir daí, nós conferimos as informações e emitimos o certificado.”
O problema é que nem todas as empresas seguem esse procedimento de verificação completa. Como explica Balassiano, existem três tipos de certificado. O primeiro deles, chamado de Domain validate, pode ser encontrado de graça na internet e comprova apenas que a empresa é dona do domínio. No segundo tipo, conhecido como Organization validate, também se verifica se a empresa por trás do pedido existe e se ela pode pedir por esse certificado. Finalmente, temos o último tipo, chamado Extended validate, que é o que garante todas as checagens.
Segundo Balassiano, existe um enorme número de empresas que emitem certificados na internet, mas que não têm muito comprometimento com a validação das informações e que podem cometer enganos. “O próprio Google tem uma certificadora que oferece um serviço gratuito, mas que atende apenas o requisito mais frágil de segurança. Não existem pessoas confirmando se a empresa que pediu o certificado existe de verdade, ou se a pessoa que fez o pedido está habilitada para fazê-lo. São apenas máquinas programadas para fazer uma verificação superficial. E como existe a diferença de preço, muitas lojas virtuais buscam pelo gratuito, sem perceber que estão abrindo mão da segurança”, diz.
A escolha pelo serviço mais barato pode, muitas vezes, ser prejudicial para o próprio desempenho da empresa. De acordo com Balassiano, existe uma taxa de abandono geral de compras online de 83%, sendo que 54% desse valor acontece por falta de confiança do cliente na loja. “Muitas vezes, o empreendedor prefere economizar cerca de mil reais no certificado, mas ele não percebe que, se tivesse uma empresa de credibilidade atestando a proteção das informações do site, o número de compras abandonadas poderia diminuir.”
Cuidado com a chave. Além do cuidado que o empreendedor deve ter na escolha da empresa que irá emitir seu certificado, ele precisa se preocupar, ainda mais, com a forma que irá armazenar sua chave de criptografia, que é gerada após a certificação da empresa.
Em certificados digitais, a comunicação entre o computador do cliente e o servidor da empresa é criptografada com duas chaves, uma pública e outra que fica sob proteção da empresa. Sempre que um cliente entra em uma tela de pagamento, por exemplo, é gerada uma chave de criptografia que codifica todas as informações enviadas pelo cliente e deixa esses dados irreconhecíveis. Essa mesma chave utilizada para fechar a informação não é capaz de desfazer a codificação. Apenas a chave que fica sob proteção da empresa é capaz de abrir os dados para, em seguida, usá-los na conclusão da compra virtual.
Essa segunda chave, portanto, é capaz de abrir toda a comunicação da empresa com seus clientes. Em termos práticos, se um hacker têm acesso a essa chave, é como se ele pudesse falar em nome da empresa e conseguisse visualizar tudo que é enviado para ela. Por isso, é importante manter esse arquivo o mais seguro possível.
