Incapacidade em combater o phishing

Apesar de as opiniões sobre os melhores métodos de formação de utilizadores de Internet divergirem, os investigadores concordam na insuficiência da actual formação no combate ao phishing.

Os métodos de formação de utilizadores de Internet são inadequados, de acordo com a maioria dos investigadores na área da segurança na Internet. Reunidos na Conferência de Investigadores do Anti-Phishing Work Group (APWG) e eCrime, os investigadores não conseguiram chegar a um consenso no que toca ao melhor método de formação de utilizadores de Internet, mas concordaram no que toca á insuficiência dos actualmente aplicados. De acordo com Lorrie Faith Cranor, professora de investigação associado na Universidade de Carnegie Mellon, considera que é difícil encontrar um método de formação eficiente, devido á diversidade de pessoas que utiliza a Internet.

Todo e qualquer conselho dado aos utilizadores da Internet acerca do phishing pode ser enganador, considera Markus Jakobsson, professor de informática na Universidade do Indiana University, na medida em que os responsáveis por esse tipo de ataques estão continuamente a mudar de estratégia.

A situação não é assim tão alarmante, já que os investigadores estão a descobrir que algumas recomendações de facto funcionam. Geralmente os métodos educativos que apelam à natureza humana e à intuição natural das pessoas são mais eficazes na diminuição da sua vulnerabilidade face ao phishing, segundo os peritos. Os investigadores da Carnegie Mellon garantem já ter conseguido melhorar a capacidade de identificação de sites de phishing dos utilizadores, pagando-lhes para lerem material sobre phishing durante 10 minutos.
Este método não pode, no entanto, ser aplicado numa escala mais elevada. “Nos descobrimos que se levarmos as pessoas a lerem informação, esse conhecimento traz benefícios, no entanto nem sempre se pode fazer isso”, disse Cranor. Outro dos métodos utilizados pelos investigadores da universidade, aposta no jogo “Anti-Phishing Phil”.

O jogo online coloca os utilizadores a controlar um peixe a nadar num oceano, perto de outras criaturas. Quando o utilizador se aproxima de outra criatura no jogo, irá aparecer um URL e terão de decidir se é um URL legítimo ou de phishing.
Os peritos testaram as capacidades de detecção de um URL de phishing antes e depois de terem jogado e asseguram que estas aumentaram significativamente.

No entanto, há quem considere que a tentativa de formação de utilizadores não é muito vantajosa para o combate ao phishing. Aaron Emigh, vice-presidente executivo da Six Apart, aconselha os investigadores a colocarem o enfoque do seu trabalho no desenvolvimento de interfaces de utilizadores que não possam ser comprometidas, em vez de se preocuparem com a formação dos utilizadores da Internet.

“Neste momento um utilizador não consegue dizer as diferenças entre um bom e mau URL sem alguns indicadores. O que acho é que os utilizadores não deveriam ter de saber sequer o que é um URL”, disse Emigh.