Concebido por uma equipa da Carnegie Mellon University, foi hoje anunciado o lançamento do Anti-Phishing Phil, um jogo online interactivo desenvolvido para ensinar os utilizadores a identificar ataques de URLs de phishing, onde procurar indícios nos programas de navegação na web e como usar os motores de busca para encontrar sites legítimos.

Estudos desenvolvidos pelo Carnegie Usable Privacy and Security (Cups) Laboratories revelaram que a utilização dos educadores podem ajudar a evitar que sejam vítimas de ataques de phishing. No entanto, segundo este laboratório, é difícil fazer com que os utilizadores leiam tutoriais de segurança e, por outro lado, muito do material de formação disponível online fazem com que os utilizadores estejam mais conscientes das ameaças, mas não fornecem informação suficiente para se protegerem. Os estudos deste laboratório revelaram que o Anti-Phishing Phil é uma abordagem eficaz no domínio da educação dos utilizadores.

De facto, segundo a VNUnet.com, testes desenvolvidos pelo laboratório do Cups revelaram que as pessoas que dispendem 15 minutos a jogar o Anti-Phishing Phil eram mais capazes de identificar websites fraudulentos do que pessoas que dispenderam o mesmo tempo a ler tutoriais tradicionais anti-phishing. "Acreditamos que a educação é essencial às pessoas para evitarem ser exploradas por ataques de phishing e outras fraudes online semelhantes", afirmou Lorrie Cranor, Directora do Cups Lab. "Contrariamente aos vírus e o spyware, os ataques de phishing não exploram as vulnerabilidades do hardware ou do software, mas antes tiram partido da forma como as pessoas usam os computadores e os seus conhecimentos muitas vezes limitados sobre a forma de funcionamento dos computadores", acrescentou esta responsável. Ainda segundo declarações à VNUnet.com, Steve Sheng, chefe da equipa de desenvolvimento do Anti-Phishing Phil, "concebemos o jogo para ajudar as pessoas a usar endereços web, ou URLs, para identificar sites de phishing", referiu este responsável, acrescentando que "a táctica pode também ser útil para analisar mensagens de correio electrónico suspeitas".

Para nós portugueses e falantes da língua de Camões em geral, é de sublinhar que o Cups Lab colaborou com o Sapo no desenvolvimento de uma versão portuguesa do jogo, chamado Anti-Phishing Zé. Desde já aqui fica o conselho a todos os utilizadores para "ganharem" uns minutos com este jogo. No caso de pais aconselho vivamente que joguem com os filhos. No caso de professores, fica a recomendação de aconselharem o jogo aos alunos e até, porque não, dedicarem-lhe parte de uma aula.

Existem diferenças entre as versões em inglês e em português. Uma das quais, que me parece relevante, é o facto da versão em inglês começar com um pequeno questionário, se seguir com o jogo propriamente dito, e terminar com outro questionário. Esta aparente pequena diferença é significativa, na medida em que permite adquirir dados quantitativos dos utilizadores antes e depois de jogarem o jogo, podendo-se assim adquirir dados importantes para avaliar os utilizadores e a eficácia do jogo como ferramenta de ensino. Pena que a versão portuguesa não tenha seguido esta abordagem, mas acho que se está sempre a tempo de emendar a mão. No caso da versão inglesa, em resultado das regras de protecção da privacidade em vigor nos EUA, só podem participar maiores de 13 anos, limitação que não existe na versão portuguesa. Essa limitação deve-se a uma imposição legal, dado que caso o utilizador deixe o seu endereço de email e preencher um questionário de seguimento uma semana depois poderá beneficiar do sorteio de um prémio de $100, sob a forma de um vale-prenda da Amazon.

Ter uma firewall, um anti-vírus e um anti-spyware instalados no seu computador disporá dos três tipo de programas básicos para usar a Internet em segurança. No entanto, existem outros riscos contra os programas referidos nos artigos anteriores não oferecem protecção e contra os quais também é aconselhável proteger-se. E para os quais também existe software especializado.

É sobre esses que ireis escrever nos próximos artigos.

Um desses riscos é o phishing. Se até recentemente existiam programas especialistas neste domínio, hoje em dia esses programas baseiam-se muito em sistemas de análise da fiablidade, confiança e credibilidade dos links  e dos websites. Daí que alguns dos  programas que refiro abaixo incluam esse tipo de funcionalidade. Por outro lado, cada vez mais os programas anti-phishing surgem também incluídos em barras de ferramentas que oferecem com diverso tipo de funcionalidades, que não apenas as relacionadas com a segurança.

Assim, hoje, e também sob o pretexto de que a segurança não precisa de ser um custo, deixo-vos aqui a sugestão de 9 programas anti-phishing gratuitos e 6 barras de ferramentas que, entre outras, incluem funcionalidade anti-phishing:

• CallingID Link Advisor
• Finjan Vital Security
• GralicWrap
• LinkScanner Lite
• McAfee SiteAdvisor
• Phishgard Free
• SpoofStick
• TrendProtect
• VerificationEngine

E no que que toca às barras de ferramentas com funcionalidades anti-phishing, entre outras, ei-las:

• CallingID Toobar
• EarthLink Toolbar
• Netcraft Toolbar
• Symantec Yahoo! Toolbar
• TrustWatch
• Windows Live Toolbar

Tal como sugeri nos artigos anteriores, se optar por instalar e usar alguma destas ferramentas, deixe-nos aqui o seu feedback sob a forma de um comentário com a classificação (1 - Muito Fraco; 5 - Muito Bom) que atribui ao programa que usa ou testou. Se assim o desejar, poderá também deixar-nos a sua análise crítica mais desenvolvida.

"Projecto MiudosSegurosNa.Net" no Facebook