Jogo Anti-Phishing
Tito de Morais, 27.09.07
Concebido por uma equipa da Carnegie Mellon University, foi hoje anunciado o lançamento do Anti-Phishing Phil, um jogo online interactivo desenvolvido para ensinar os utilizadores a identificar ataques de URLs de phishing, onde procurar indícios nos programas de navegação na web e como usar os motores de busca para encontrar sites legítimos.Estudos desenvolvidos pelo Carnegie Usable Privacy and Security (Cups) Laboratories revelaram que a utilização dos educadores podem ajudar a evitar que sejam vítimas de ataques de phishing. No entanto, segundo este laboratório, é difícil fazer com que os utilizadores leiam tutoriais de segurança e, por outro lado, muito do material de formação disponível online fazem com que os utilizadores estejam mais conscientes das ameaças, mas não fornecem informação suficiente para se protegerem. Os estudos deste laboratório revelaram que o Anti-Phishing Phil é uma abordagem eficaz no domínio da educação dos utilizadores.
De facto, segundo a VNUnet.com, testes desenvolvidos pelo laboratório do Cups revelaram que as pessoas que dispendem 15 minutos a jogar o Anti-Phishing Phil eram mais capazes de identificar websites fraudulentos do que pessoas que dispenderam o mesmo tempo a ler tutoriais tradicionais anti-phishing. "Acreditamos que a educação é essencial às pessoas para evitarem ser exploradas por ataques de phishing e outras fraudes online semelhantes", afirmou Lorrie Cranor, Directora do Cups Lab. "Contrariamente aos vírus e o spyware, os ataques de phishing não exploram as vulnerabilidades do hardware ou do software, mas antes tiram partido da forma como as pessoas usam os computadores e os seus conhecimentos muitas vezes limitados sobre a forma de funcionamento dos computadores", acrescentou esta responsável. Ainda segundo declarações à VNUnet.com, Steve Sheng, chefe da equipa de desenvolvimento do Anti-Phishing Phil, "concebemos o jogo para ajudar as pessoas a usar endereços web, ou URLs, para identificar sites de phishing", referiu este responsável, acrescentando que "a táctica pode também ser útil para analisar mensagens de correio electrónico suspeitas".
Para nós portugueses e falantes da língua de Camões em geral, é de sublinhar que o Cups Lab colaborou com o Sapo no desenvolvimento de uma versão portuguesa do jogo, chamado Anti-Phishing Zé. Desde já aqui fica o conselho a todos os utilizadores para "ganharem" uns minutos com este jogo. No caso de pais aconselho vivamente que joguem com os filhos. No caso de professores, fica a recomendação de aconselharem o jogo aos alunos e até, porque não, dedicarem-lhe parte de uma aula.
Existem diferenças entre as versões em inglês e em português. Uma das quais, que me parece relevante, é o facto da versão em inglês começar com um pequeno questionário, se seguir com o jogo propriamente dito, e terminar com outro questionário. Esta aparente pequena diferença é significativa, na medida em que permite adquirir dados quantitativos dos utilizadores antes e depois de jogarem o jogo, podendo-se assim adquirir dados importantes para avaliar os utilizadores e a eficácia do jogo como ferramenta de ensino. Pena que a versão portuguesa não tenha seguido esta abordagem, mas acho que se está sempre a tempo de emendar a mão. No caso da versão inglesa, em resultado das regras de protecção da privacidade em vigor nos EUA, só podem participar maiores de 13 anos, limitação que não existe na versão portuguesa. Essa limitação deve-se a uma imposição legal, dado que caso o utilizador deixe o seu endereço de email e preencher um questionário de seguimento uma semana depois poderá beneficiar do sorteio de um prémio de $100, sob a forma de um vale-prenda da Amazon.