Wie bekämpfen Sie Website-Spoofing / Phishing?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Was ist Ihre vorgeschlagene Lösung für die Bedrohung der Website UI-Spoofing?
Lösung
Der Schlüssel zu diesem Problem ist, einen Unterschied zwischen einer Anfrage an den tatsächlichen Standort und eine Anfrage an die Spoof-Website zu identifizieren.
Der einfachste Unterschied ist, einig Cookie-basierte UI bevorzugt. Ein Cookie auf Ihrer (real) Website wird immer nur auf Ihrer Website zurückgeschickt werden, und wird es nie zu einer Parodie-Website gesendet werden.
Jetzt viele Gründe gibt, die die gültige Cookie nicht auf Ihre Website gesendet werden könnte, könnte der Benutzer sein, einen anderen Computer oder sie könnten abgelaufen / gelöschten Cookies, aber zumindest können Sie garantieren, dass es nicht sein gesendet an die spoof-Website.
Andere Tipps
Durch die Definition jede Lösung, die auf der Website setzt Sie personalisierte Informationen zeigt , wenn Sie in angemeldet haben, ist unwirksam gegen Phisher. Wenn Sie haben versucht, um sich einzuloggen, haben sie bereits erfolgreich
FWIW, ich weiß noch nicht die richtige Antwort, vielleicht diese Frage wird einige gute Ideen werfen. Ich bin aber professionell mit der Forschung in Phishing, schlechte Domain-Registrierungen, etc.
Das glaube ich nicht, dass es eine signifikante technische Lösung, die Website-Entwickler implementieren können. Auch hier per Definition, wenn die Benutzer bei einer Phishing-Seite ankommen sind Sie nicht mehr unter Kontrolle.
Aus diesem Grund werden alle aktuellen Anti-Phishing-Technologien im Browser befinden und nicht in der Phishing-Website.
Ich denke, die einzige Antwort ist, bessere Menschen zu programmieren.
Dinge zu tun, wie das Aussehen Anpassen oder das Hochladen nur ein Bild arbeiten, wenn der Benutzer in Fragen erkennt eigentlich, wenn diese Dinge falsch sind. Ich denke, die Mehrheit der Nutzer würde nie diese Dinge außer für Websites erkennen sie viel zu besuchen. Selbst wenn sie es taten sie kann es zu einer Änderung der Website-Design-Attribut und kein phish.
Eine Lösung ist die Website pro Benutzer anzupassen. Spoofing funktioniert nur, wenn Nutzer haben im Grunde die gleiche Sicht auf der Website (eine Parodie - viele Opfer). Wenn also zum Beispiel lassen würde eBay Sie eine benutzerdefinierte Hintergrundfarbe konfigurieren, sollten Sie in der Lage sein, zu bemerken, dass die Seite, die Sie sehen einige Parodie ist (das wird Ihre Wahl der Farbe nicht kennen). Eine echte Lösung ist ein wenig komplexer (wie vielleicht ein geheimes Stichwort im Browser konfiguriert, dass nur der Browser innerhalb Passwort Kontrollen oder in der URL-Leiste machen kann, etc.), aber die Idee ist die gleiche.
Anpassen der UI pro Benutzer so Spoofing (die auf die meisten Benutzer verlässt sich erwarten im Grunde die gleiche Benutzeroberfläche sehen) nicht mehr funktioniert. Es kann eine Browser-basierte Lösung sein, oder etwas Websites bieten ihren Nutzern (einige von ihnen bereits tun).
Ich habe einige Seiten gesehen, dass Sie lassen ein „persönliches“ Symbol. Jedes Mal, wenn Sie sich anmelden, dass Symbol angezeigt als Beweis dafür, dass Sie auf ihrer Seite sind.
-
Sie können eine Frage stellen, wenn die Benutzer-Login (eine Frage, die der Benutzer mit der Antwort geschrieben hat).
-
Sie können ein Bild nach dem loggin angezeigt, die die Benutzer hochgeladen haben, wenn der Benutzer nicht sein Bild nicht sehen (privat, dass nur konnte ihn sehen), als es nicht die echte Website ist.
