¿Cómo se combate la suplantación de identidad / phishing?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es su solución sugerida para la amenaza de suplantación de la interfaz de usuario del sitio web?
Solución
La clave de este problema es identificar alguna diferencia entre una solicitud al sitio real y una solicitud al sitio falso.
La diferencia más simple es alguna preferencia de IU basada en cookies. Una cookie establecida en su sitio (real) solo se devolverá a su sitio y nunca se enviará a un sitio falso.
Ahora hay muchas razones por las cuales la cookie válida podría no enviarse a su sitio, el usuario podría estar usando una computadora diferente o podrían tener cookies caducadas / eliminadas, pero al menos puede garantizar que no será enviado al sitio falso.
Otros consejos
Por definición, cualquier solución que se base en que el sitio le muestre información personalizada una vez que haya iniciado sesión es ineficaz contra los phishers. Si ha intentado iniciar sesión, ¡ya lo han logrado !
FWIW, todavía no sé la respuesta real, tal vez esta pregunta arroje algunas buenas ideas. Sin embargo, estoy involucrado profesionalmente en la investigación de phishing, registros de dominios incorrectos, etc.
No creo que haya una solución técnica significativa que los desarrolladores de sitios web puedan implementar. Nuevamente, por definición, si sus usuarios llegan a un sitio de phishing, usted ya no tiene el control.
Esta es la razón por la cual todas las tecnologías anti-phishing actuales residen en el navegador, y no en el sitio phishing.
Creo que la única respuesta aquí es programar mejores personas.
Hacer cosas como personalizar la apariencia o subir una imagen solo funciona si el usuario en las preguntas realmente reconoce cuando estas cosas están mal. Creo que la mayoría de los usuarios nunca reconocerían estas cosas, excepto los sitios que visitan mucho. Incluso si lo hicieran, pueden atribuirlo a un cambio en el diseño del sitio web y no a un phishing.
Una solución es personalizar el sitio web por usuario. La suplantación de identidad solo funciona cuando los usuarios tienen básicamente la misma vista del sitio web (una suplantación, muchas víctimas). Entonces, si, por ejemplo, eBay le permite configurar un color de fondo personalizado, debería ser capaz de notar que la página que está viendo es una parodia (que no sabrá su elección de color). Una solución real es un poco más compleja (como quizás una palabra clave secreta configurada en el navegador que solo el navegador puede representar dentro de los controles de contraseña o en la barra de direcciones, etc.), pero la idea es la misma.
Personalice la IU por usuario para que la suplantación de identidad (que depende de que la mayoría de los usuarios esperen ver básicamente la misma IU) deje de funcionar. Puede ser una solución basada en navegador o algo que los sitios web ofrecen a sus usuarios (algunos ya lo hacen).
He visto algunos sitios que le permiten seleccionar un "personal". icono. Cada vez que inicia sesión, ese icono se muestra como prueba de que está en su sitio.
-
Puede hacer una pregunta cuando el usuario inicia sesión (una pregunta que el usuario ha escrito con la respuesta).
-
Puede mostrar una imagen después del inicio de sesión que el usuario ha subido, si el usuario no ve su imagen (privada que solo él puede ver) que no es el sitio web real.
