Terça-feira, 30 de março de 2010
Na nossa postagem recente no blog de segurança on-line do Google, descrevemos nosso sistema para identificar páginas de phishing. Das milhões de páginas da Web que nossos verificadores analisam em busca de phishing, identificamos 9 a cada 10 páginas com esse tipo de problema. Nosso sistema de classificação sinaliza incorretamente um site saudável como phishing apenas uma a cada 10.000 vezes, o que é significativamente melhor do que sistemas semelhantes. De acordo com nossa experiência, esses sites "falsos positivos" costumam ser criados para distribuir spam ou podem estar envolvidos com outras atividades suspeitas. Se você descobrir que seu site foi adicionado por engano à nossa lista de páginas de phishing ("Falsificação na Web denunciada!"), informe o erro. No entanto, se o site tiver sido adicionado à nossa lista de malware ("Este site pode danificar seu computador"), siga as instruções para corrigir problemas com malware. Nossa equipe tenta resolver todas as solicitações em até um dia, e geralmente respondemos em algumas horas.
Infelizmente, às vezes, quando tentamos acompanhar denúncias, descobrimos que nos confundimos tanto quando nosso sistema automatizado. Caso você administre um site, veja algumas diretrizes simples que permitem corrigir rapidamente os erros e ajudam a manter seu site fora da lista de páginas de phishing.
Não solicite nomes de usuário e senhas que não pertençam ao seu site.
Consideramos esse comportamento como phishing por definição. Portanto, não faça isso. Se você quiser oferecer um serviço que complemente o de outro site, use uma API pública ou o OAuth.
Evite exibir logotipos que não sejam seus nos campos de login.
Alguém que navega na Web pode acreditar erroneamente que o logotipo representa seu site e pode ser levado a inserir informações pessoais de outro site. Além disso, nem sempre temos certeza de que você não está fazendo isso intencionalmente, então podemos bloquear seu site por segurança. Para evitar mal-entendidos, tenha cuidado ao exibir esses logotipos.
Minimize o número de domínios usados pelo seu site, principalmente para logins.
Solicitar um nome de usuário e senha para o Site X é algo muito suspeito no Site Y. Além de dificultar a avaliação do seu site, é possível que você esteja ensinando acidentalmente os visitantes a ignorar URLs suspeitos, o que os torna mais vulneráveis a tentativas reais de phishing. Se você precisar ter a página de login em um domínio diferente do site principal, considere usar um proxy transparente para permitir que os usuários acessem essa página no domínio principal. Se nada der certo...
Facilite a identificação de links para suas páginas
Fica difícil para nós (e para seus usuários) determinar quem controla uma página fora do domínio no seu site se os links para essa página são difíceis de encontrar no site principal . Para resolver esse problema, basta vincular cada página de fora do domínio a uma página no domínio associada. Se você não tiver feito isso e uma das páginas acabar na nossa lista por engano, indique no relatório de erros como podemos encontrar o link para a página bloqueada incorretamente no site principal. Em último caso...
Não envie links estranhos por e-mail ou mensagens instantâneas
Não é possível verificar links estranhos que só aparecem em e-mails ou mensagens instantâneas. Pior ainda: esses tipos de links condicionam seus usuários, clientes ou amigos a clicar em links estranhos que recebem por e-mail ou mensagens instantâneas, o que aumenta o risco decrimes pela Internet, além de phishing.
Esperamos que você considere essas recomendações comuns, mas observamos que as principais empresas de comércio eletrônico e financeiras às vezes não seguem essas diretrizes. Além de melhorar sua experiência com nossos sistemas antiphishing, seguir essas instruções também ajuda você a oferecer aos visitantes uma experiência on-line melhor.