Como avaliar se um site é seguro

O Gabinete Cibercrime do Ministério Público recebeu, no primeiro semestre deste ano, um total de 852 denúncias de crimes informáticos, mais 43% do que em igual período de 2021. Segundo nota informativa publicada em julho por aquele organismo, a avaliar por estes primeiros dados de 2022, é provável que o número total de participações até ao final do ano ultrapasse em larga escala o do ano anterior, que se cifrou em 1160 denúncias. 

As queixas relacionadas com cibercrimes têm aumentado de forma constante desde 2016, mas agravaram-se com o confinamento. “No ano de 2020 as denúncias aumentaram de forma excecional após a eclosão da pandemia da covid-19. Em 2021, o aumento foi ainda mais expressivo do que tinha sido em 2020: na totalidade do ano de 2021 foram recebidas 1160 denúncias, enquanto em 2020 tinham sido recebidas 544.”, refere o Gabinete de Cibercrime.

Para evitar ser mais uma vítima de burlas e esquemas informáticos, antes de clicar numa ligação que não conhece, siga estes 10 passos para se certificar de que a página que vai visitar é mesmo segura. Se não tem tempo para esta verificação manual e quer saber se corre riscos antes mesmo de entrar, também existem ferramentas que ajudam a identificar sites potencialmente perigosos.

1. Verifique o certificado SSL

Sempre que, num site, lhe forem solicitados dados mais sensíveis, como os de pagamento de uma compra ou as credenciais de acesso, verifique se nessa página o endereço ou URL começa por https://, precedido de um pequeno cadeado.Qual o significado deste termo e qual a diferença em relação ao http://? O “S” extra significa que o site é “seguro”, porque usa um certificado Secure Sockets Layer (SSL). Este certificado é usado para proteger todos os dados que passam do navegador para o servidor do site. Ou seja, em princípio, num site seguro, a comunicação entre o utilizador e a empresa responsável não pode ser intercetada ou modificada.

Um site cujo endereço começa por “http://” não está criptografado, o que significa que a atividade pode ficar visível para predadores online. Na prática, se visitar um site de compras sem a certificação SSL e informar a empresa sobre seus dados pessoais, essas informações podem ser copiadas, sem que o utilizador ou a loja percebam qualquer invasão.

2. Cuidado com os selos de segurança

Os selos de confiança são ícones com as palavras “Secure” ou “Verified” localizadas ao lado do URL, na parte superior direita da página. Podem ser um indicador de que o site usa segurança https e/ou recorre a outros sistemas, como verificações periódicas de malware (software malicioso, criado com a intenção de causar danos a um computador, servidor ou utilizador).

Não basta, no entanto, ver apenas um selo de confiança. Hoje em dia, não é difícil criar selos falsos ou imitações de selos legítimos em programas de edição e inseri-los nas páginas online. Para confirmar se o selo de confiança é autêntico, clique na imagem. Se for redirecionado para a página da empresa que o emitiu, é um sinal de que o site em questão trabalha com um parceiro de segurança encarregado de proteger os dados aí partilhados e armazenados. Já os selos falsos são imagens que não fornecem nenhum desses detalhes.

3. Confirme se o URL está bem escrito

Diz a sabedoria popular que o “diabo está nos detalhes” e é bem verdade. Sabendo que nem todos os utilizadores prestam atenção aos pormenores, alguns cibercriminosos criam páginas com endereços falsos que se fazem passar por sites credíveis de marcas conhecidas. Basta, por exemplo, alterar um “o” para “0”. Para quem tem pressa ou está distraído, o site g0ogle.com pode ser algo que nem chama atenção, mas que esconde certamente uma tentativa de golpe.

Segundo o Gabinete Cibercrime do Ministério Público, no primeiro semestre deste ano, verificou-se um grande número de denúncias de páginas “falsas” na internet: 42, por comparação com as 45 recebidas ao longo de todo o ano de 2021. Estas páginas são, em geral, cópias muito fiéis dos sites das marcas que pretendem mimetizar, com o propósito de convencer as vítimas a comprar e pagar bens que nunca chegam a receber.

“Além das falsas páginas de marcas de roupa, de marcas calçado ou de equipamento desportivo, este fenómeno manifestou-se também em falsas páginas de entidades que concedem crédito online, em falsas páginas de hotéis ou de alojamento local ou ainda de falsas páginas de venda de medicamentos.”, alerta aquele organismo.

Por isso, se receber um e-mail ou uma SMS com links para páginas online que parecem ser do seu banco, de uma empresa de entregas em casa ou de lojas conhecidas, não clique sem antes confirmar que o URL está correto. Se a dúvida persistir, pesquise o nome da empresa num motor de busca. À partida, o primeiro endereço que aparecer na lista de resultados será o real.

4. Avalie o design do site

Muitas das páginas desenvolvidas por cibercriminosos são pouco cuidadas do ponto de vista gráfico e ignoram elementos de design que as páginas mais populares e de confiança incorporam: por exemplo, imagens de qualidade, uma organização cuidada da informação, etc. Os erros de ortografia e gramaticais também são frequentes neste tipo de sites. Afinal, o objetivo dos burlões não é que as páginas perdurem, mas que cumpram o propósito de ludibriar o maior número de internautas no mais curto espaço de tempo… ao fim do qual são encerradas e substituídas por outras idênticas.

Se encontrar um site que parece não corresponder à marca de uma empresa que já conhece ou parece significativamente diferente do que está habituado a ver, saia da página ou pense bem antes de inserir qualquer informação pessoal.

5. Se o desconto é grande, desconfie da loja online

O ditado “Se a esmola é grande, desconfie”  é antigo, mas continua mais atual do que nunca. A parte mais importante do processo de fazer uma compra online segura é escolher a loja. Se vir um site, e-mail ou publicidade com banners e pop-ups a piscar incessantemente, com preços exageradamente baixos ou descontos de 70% ou mais sobre o preço de base, desconfie. Malas da marca Gucci por 24,99 euros ou iPhones a estrear por 399 euros parecem negócios bons demais para serem verdade… e são!

Os sites fraudulentos usam preços baixos para atrair compradores fanáticos por promoções, com o intuito de venderem rapidamente itens falsos, falsificados ou simplesmente inexistentes. Se deparar com uma situação idêntica, pesquise o mesmo produto em lojas online de referência. Se a diferença de preço for demasiado grande, não arrisque sem fazer uma verificação (ainda) mais cuidada do site em questão.

6. Identifique sinais de alerta

Pop-ups suspeitos, avisos a piscar e outros sinais de alerta podem indicar a presença de malware num site:

• Avisos do motor de busca: ao tentar entrar em um site considerado potencialmente perigoso podem aparecer sinais de aviso do motor de busca. Embora esses avisos nem sempre sejam precisos, é preferível não arriscar.
• Spam: sites com sinais de aviso a piscar e pontos de exclamação são indícios de malware.
• Redirecionamentos: os cibercriminosos podem incorporar malware em sites que redirecionam automaticamente os utilizadores para outras páginas online potencialmente perigosas. Se for o caso, feche todas as páginas indesejadas imediatamente.
• Pop-ups: se entrar em um site que exibe vários pop-ups, volte a sair. Este é um bom indício de que o site pode estar infetado com malvertising (recurso a publicidade que instala malware ou redireciona o utilizador para páginas inseguras) ou adware (anúncios invasivos e potencialmente perigosos).

Descubra se o site é seguro

7. Descubra o dono do site

Todos os sites devem ser estar associados ao nome de uma pessoa física ou jurídica. Descobrir o proprietário é, por isso, meio caminho para avaliar se um site é real e seguro.

Como chegar a essa informação? Existem vários serviços gratuitos que permitem fazer a pesquisa, embora o conteúdo apresentado nem sempre seja fácil de interpretar. É o caso do Whois, do Whois Lookup ou do DNS.pt (este último apenas para páginas com extensão .pt). Basta inserir o domínio no campo de pesquisa e, em poucos segundos, acede a toda a informação relevante sobre o proprietário, como nome, morada e contactos. 

Depois disto, começa o verdadeiro trabalho de investigação: se procurar pelo nome do proprietário num motor de busca e encontrar artigos ou comentários sobre golpes passados – ou se, pelo contrário, não encontrar resultados relevantes –, a probabilidade de estar perante um site fraudulento é bastante grande. Não arrisque. 
Se nenhuma informação de contacto estiver presente nos sites de pesquisa de domínios, tal não significa necessariamente que a página que procura seja insegura. Pode apenas querer dizer que o proprietário optou por ocultá-la.

8. Avalie contactos e meios de pagamentos

Por falar em “contactos”, antes de fazer qualquer tipo de operação ou transação num site que não lhe é familiar veja se encontra, numa secção de “Contactos” ou “Quem somos”, o endereço físico da sede e o número de telefone. Faça uma dupla verificação destes dados, por exemplo, no Google, para ter a certeza de que são reais e correspondem ao site que está a pesquisar. 

Embora estas informações não sejam uma garantia de que a página é segura, revelam que há alguém contactável ou tem um local físico onde se dirigir se surgir um problema. Segundo o Gabinete Cibercrime do Ministério Público, as páginas falsas denunciadas ao longo deste ano “nunca indicam qualquer forma de contacto com os respetivos responsáveis”.

Veja também se existem formas de pagamento seguras. No geral, cartões de crédito e PayPal oferecem mais proteção, pois permitem que o consumidor seja ressarcido se o produto que comprou não for entregue. Nunca transfira dinheiro para uma conta bancária se tiver dúvidas sobre a veracidade de uma loja online.

9. Pesquise a idade do domínio

A idade do domínio de um site está relacionada com a sua data de criação. Em regra, sites credíveis têm algum histórico e não desaparecem de um dia para o outro. Pelo contrário, as páginas não seguras têm um tempo de vida muito limitado, por uma de duas razões: ou porque são denunciadas e identificadas como práticas fraudulentas, caso em que o URL é bloqueado pelo servidor onde estão alojadas; ou porque são eliminadas pelos burlões, logo após obterem os proveitos desejados.

Por exemplo, se estiver no site oficial de uma grande cadeia de supermercados, mas a idade do domínio for de apenas alguns meses, semanas ou dias, é provável que a página seja uma réplica para enganar os utilizadores em relação às suas informações de pagamento ou a outros dados sensíveis.

Existem vários sites gratuitos que pode usar para verificar a idade de um domínio, incluindo o Sitechecker e o DNS.pt. Note que esta informação não indica a idade exata do site – os domínios são geralmente comprados antes de o próprio site ser criado –, mas dá uma ideia aproximada.

10. Desconfie de avaliações muito positivas

Se estiver interessado em comprar num site que não conhece, pesquise-o na internet e verifique se existem comentários de outros clientes. Uma ótima forma de distinguir empresas legítimas de possíveis golpes será verificar se a empresa tem redes sociais próprias. Não sendo o caso, se reunir apenas alguns seguidores ou publicar conteúdo suspeito, é provável que esconda algo de natureza criminosa.

Nunca use a própria página de avaliações do site para formar uma opinião. Muitos sites fraudulentos “fabricam” avaliações positivas para convencer os utilizadores da sua legitimidade. Ainda que não seja possível afirmar com absoluta certeza que uma avaliação deixada numa plataforma de comércio online é falsa, há alguns indícios de fake reviews que podem torná-la suspeita. Em vez disso, use serviços de avaliações, como o TrustPilot ou o Wot. Se não conseguir encontrar nenhum comentário, desconfie. 

Se, após ter verificado todos estes pontos, continua com dúvidas em relação à credibilidade ou à segurança de um site, siga os seus instintos. Não deixe que uma boa promoção afete o seu julgamento e opte por lojas conhecidas: procure nome, morada, contacto telefónico, e-mail e número de contribuinte do vendedor. Não compre sem um endereço físico ou se apenas houver um apartado postal. A morada completa é essencial para localizar o vendedor em caso de problemas. Estas e outras informações são obrigatórias nas lojas online.