MURILO AUGUSTO LOPES TEIXEIRA

DESENVOLVIMENTO DE UM JOGO EDUCATIVO PARA

TREINAMENTO DE USUÁRIOS NA PREVENÇÃO CONTRA

ATAQUES DE PHISHING POR E-MAIL

LONDRINA - PR

2014

A FICHA CATALOGRÁFICA DEVERÁ/PODERÁ SER SOLICITADA NA BIBLIOTECA

CENTRAL

B222d Sobrenome, Nome do autor. Gerência de redes – protocolo SNMP / nome e sobrenome do aluno. – Londrina, 2010. 98 f. : il.

Orientador: nome sobrenome do orientador.

Dissertação (Mestrado em ) Universidade Estadual de Londrina, Centro de

Ciências Exatas, Programa de Pós-Graduação em xxxxx, 2010.

Inclui bibliografia. 1. Gerencia de redes – Teses. 2. SNMP. 3 NMS – Teses. 3. Assunto 3 – Teses. I.

Sobrenome, Nome do orientador. II. Universidade Estadual de Londrina. Centro de Ciências Exatas. III. Título.

(ATENCAO PARA MONOGRAFIA DE ESPECIALIZAÇÃO NÃO PRECISA)

CDU 641:579

MURILO ALGUSTO LOPES TEIXEIRA

DESENVOLVIMENTO DE UM JOGO EDUCATIVO PARA

TREINAMENTO DE USUÁRIOS NA PREVENÇÃO CONTRA

O PHISHING DE E-MAIL

Trabalho de Conclusão de Curso apresentado ao curso de Bacharelado em Ciência da Computação da Universidade Estadual de Londrina para obtenção do título de Bacharel em Ciência da Computação. Orientador: Prof. Dr. Jacques Duílio Brancher

LONDRINA - PR

2014

DEDICATÓRIA (S) (opcional)

A minha esposa xxx

A meus pais xxxxxx

A Deus por xxxxx

AGRADECIMENTO (S) (opcional)

Agradeço ao meu orientador não só pela constante orientação neste trabalho,

mas sobretudo pela sua amizade ...

Ao professor...

Aos colegas que...

Gostaria de agradecer também algumas pessoas que contribuíram para ...

Epígrafe (opcional)

TEIXEIRA, M. A. L.. Desenvolvimento de um jogo educativo para treinamento de

usuários na prevenção contra ataques de phishing por e-mail. Número total de folhas.

Trabalho de Conclusão de Curso (Graduação em Bacharelado em Ciência da Computação) –

Universidade Estadual de Londrina, Londrina, 2014.

RESUMO

Devido ao alto crescimento da interferência da Internet na vida das pessoas as

tentativas de ataques por phishing tem aumentado de forma alarmante, porém a

conscientização sobre segurança e como tomar decisões confiáveis ao realizar atividades na

internet está em falta, ou seja, a grande maioria dos usuários da rede não tem conhecimento

sobre o que é o phishing e como se defender do mesmo. Este trabalho propõe o

desenvolvimento de um jogo educativo para treinar o usuário a identificar e se prevenir de

ataques de phishing por e-mails.

Palavras-chave: Phishing. Prevenção contra ataques de Phishing por e-mails. Jogo

Educativo.

TEIXEIRA, M. A. L.. Desenvolvimento de um jogo educativo para treinamento de

usuários na prevenção contra ataques de phishing por e-mail. Número total de folhas.

Trabalho de Conclusão de Curso (Graduação em Bacharelado em Ciência da Computação) –

Universidade Estadual de Londrina, Londrina, 2014.

ABSTRACT

Due to the growth of internet's interference on people's lives, the attempts of attacks by

phishing have a raised in a very alarming way. However, there's a lack of awareness of

security and reliable choices while performing activities on the internet, thus the great

majority of web users do not have the knowledge of what phishing is and how to defend

themselves. This project proposes the development of an educational game to train the user to

prevent him or herself from phishing attacks by e-mails.

Key words: Phishing. Prevent Phishing attacks by e-mails. Educational Game.

LISTA DE ILUSTRAÇÕES

Figura 1 – Título da figura ................................................................................................. 00

Figura 2 – Título da figura ................................................................................................. 00

Figura 3 – Título da figura ................................................................................................. 00

Figura 4 – Título da figura ................................................................................................. 00

Figura 5 – Título da figura ................................................................................................. 00

LISTA DE TABELAS

Tabela 1 – Título da tabela ................................................................................................. 00

Tabela 2 – Título da tabela ................................................................................................. 00

Tabela 3 – Título da tabela ................................................................................................. 00

Tabela 4 – Título da tabela ................................................................................................. 00

Tabela 5 – Título da tabela ................................................................................................. 00

LISTA DE ABREVIATURAS E SIGLAS

ABNT Associação Brasileira de Normas Técnicas

BNDES Banco Nacional de Desenvolvimento Econômico e Social

IBGE Instituto Brasileiro de Geografia e Estatística

IBICT Instituto Brasileiro de Informação em Ciência e Tecnologia

NBR Norma Brasileira

SUMÁRIO

1 INTRODUÇÃO ............................................................................................................... 12

2 FUNDAMENTAÇÃO TEÓRICA ..................................................................................

3 PROPOSTA

4 DESENVOLVIMENTO DO JOGO ...............................................................................

4.1 MÓDULO DE TREINAMENTO ............................................................................................

4.2 MÓDULO DE CLASSIFICAÇÃO DE E-MAILS.........................................................................

5 RESULTADOS OBTIDOS .............................................................................................

CONCLUSÃO ....................................................................................................................

REFERÊNCIAS .................................................................................................................

APÊNDICES ......................................................................................................................

APÊNDICE A – Nome do apêndice .....................................................................................

ANEXOS ............................................................................................................................

ANEXO A – Nome do anexo ...............................................................................................

12

1 INTRODUÇÃO

Milhões de ameaças virtuais são espalhadas diariamente pela internet e grande parte

delas são caracterizadas como phishing. De acordo com [3] os ataques de phishing são

caracterizados pelo processo de seduzir as pessoas para visitar sites fraudulentos com o

objetivo de roubar informações pessoais dessas vítimas e esse tipo de ataque tem crescido

consideravelmente na última década. Com o rápido crescimento da Tecnologia da Internet e a

onipresença desta na vida das pessoas (como forma de se socializar, fazer compras, se

divertir, etc), a confiança das pessoas na Internet cresce, aumentando assim as possibilidades

de ataques e outros tipos de violações de segurança. Aliado ao crescente aumento das ameaças

temos a falta de conscientização e aprendizado sobre segurança e decisões confiáveis ao

realizar atividades online, ou seja, tornam os usuários de computadores pessoais ainda mais

suscetíveis a cair nesses ataques [4].

A proposta deste trabalho é desenvolver um treinamento através de um jogo para

usuários na prevenção contra a ameaça do phishing em sua mais popular abordagem: os

ataques por e-mail. Segundo [8], a percepção de jogos como valioso treinamento e

instrumento de ensino é geralmente muito elevada; as pessoas parecem apreciar este

instrumento de formação inovadora e não convencional mais do que exercícios tradicionais.

Além disso, a elevada interatividade típica dos jogos assegura um elevado grau de atenção

durante o jogo e, consequentemente, aumenta a eficácia da formação e o envolvimento dos

jogadores.

13

14

2 FUNDAMENTAÇÃO TEÓRICA

De acordo com [1] a abordagem mais popular de ataques de phishing é o e-mail. E-

mails de phishing empregam uma variedade de táticas para enganar as pessoas com o

propósito de que elas divulguem suas informações confidenciais, como nomes de usuário,

senhas, números de cartões de crédito/débito. Na maioria das vezes os emails pedem às

pessoas para participarem de uma pesquisa ou pedem para que verifiquem suas informações

de conta bancária em que devem fornecer seus dados bancários para regularizarem a situação.

A crescente sofisticação destas técnicas faz-se um desafio para proteger usuários individuais

contra ataques de phishing [3]. Educar os usuários a identificar e-mails suspeitos e sites é

muito importante na defesa do phishing [6], no entanto, a segurança não é normalmente o

objetivo principal dos usuários finais, e, portanto, faz com que os mesmos tanham baixa

motivação em aprender sobre o phishing. Devido a isso o uso de jogos como meio para

atender as necessidades pedagógicas afim de aumentar a motivação e possibilitar novas

experiências de aprendizagem tem recebido atenção crescente [8]. Em geral, diversas

pesquisas mostram que os alunos geralmente têm alto envolvimento e alta satisfação no

ambiente digital Game-Based Learning (GBL) [7].

Segundo [9] As várias estratégias para proteger as pessoas de cair no phishing se

enquadram em três grandes categorias: eliminando silenciosamente a ameaça, advertindo os

usuários sobre a ameaça, e treinando os usuários para não cair nos ataques. Alguns

especialistas argumentam que a educação e a formação podem impedir que os usuários caiam

no phishing e outros ataques e pesquisas têm mostrado que a educação pode ser uma solução

eficaz para o problema de phishing [6].

15

3 PROPOSTA

16

4 DESENVOLVIMENTO DO JOGO

17

4 RESULTADOS OBTIDOS

18

REFERÊNCIAS

[1] James, L. (2005). Phishing exposed, Syngress, Canada.

[2] Kumaraguru, P., Rhee, Y., Acquisti, A., Cranor, L. F., Hong, J., Nunge, E. (2007).

Protecting people from phishing: the design and evaluation of an embedded training email

system. In SIGCHI conference on human factors in computing systems, San Jose, California,

USA, April–May 2007.

[3] Purkait, S. (2012). Phishing counter measures and their effectiveness – literature review.

Information Management & Computer Security, 20(5), 382–420.

[4] Arachchilage, Nalin Asanka Gamagedara, and Steve Love. 2013. A game design

framework for avoiding phishing attacks. Computers in Human Behavior 29, no. 3: 706-714.

[5] Tseng, Shian-Shyong, Kai-Yuan Chen, Tsung-Ju Lee, and Jui-Feng Weng. 2011.

Automatic content generation for anti-phishing education game. 2011 International

Conference on Electrical and Control Engineering. IEEE.

[6] Kumaraguru, Ponnurangam, Steve Sheng, Alessandro Acquisti, Lorrie Faith Cranor, and

Jason Hong. 2010. Teaching Johnny not to fall for phish. ACM Transactions on Internet

Technology.

[7] Chen, J. Wey. 2005. Designing a Web-based van Hiele model for teaching and learning

computer programming to promote collaborative learning. Fifth IEEE International

Conference on Advanced Learning Technologies (ICALTʼ05).

[8] L. Pannese, and M. Carlesi, “Games and learning come together to maximize

effectiveness: The challenge of bridging the gap,” British Journal of Educational Technology,

38(3).

[9] Arachchilage, Nalin Asanka Gamagedara, and Melissa Cole. 2011. Design a mobile game

for home computer users to prevent from phishing attacks. International Conference on

Information Society (i-Society 2011). IEEE.

[10] Kumaraguru, Ponnurangam, Yong Rhee, Steve Sheng, Sharique Hasan, Alessandro

Acquisti, Lorrie Faith Cranor, and Jason Hong. 2007. Getting users to pay attention to anti-

phishing education: evaluation of retention and transfer. In APWG eCrime Researchers

Summit, 70-81. http://dl.acm.org/citation.cfm?id=1299022.

[11] Sheng, Steve, and Bryant Magnien. 2007. Anti-phishing phil: the design and evaluation

of a game that teaches people not to fall for phish. In In Proceedings of SOUPS 2007, 88-99.

19

http://dl.acm.org/citation.cfm?id=1280692.

20

APÊNDICES

21

APÊNDICE A

Nome do Apêndice

22

ANEXOS

(Sempre o último no trabalho)

23

ANEXO A

Título do Anexo