Un buen consejo es que nunca confirmes certificados, es decir, si por ejemplo te metes en el facebook y te sale la típica pagina de "Desea confirmar certificado??" y le das aceptar la has pifiado, ya te han sacado las contraseñas y el user aunque la pagina vaya por https, da igual. Hay que decir que hay que esforzarse para confirmar un certificado pero la gente lo hace jeje