Comment combattez-vous contre l'usurpation d'identité / phishing?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelle est votre solution suggérée contre la menace d'usurpation de l'interface utilisateur du site Web?
La solution
La clé de ce problème consiste à identifier une différence entre une demande adressée au site réel et une demande adressée au site d'usurpation.
La différence la plus simple réside dans certaines préférences d'interface utilisateur basées sur des cookies. Un cookie installé sur votre (véritable) site ne sera jamais restitué que sur votre site, et ne sera jamais envoyé sur un site frauduleux.
Il existe de nombreuses raisons pour lesquelles le cookie valide peut ne pas être envoyé sur votre site, que l'utilisateur utilise peut-être un ordinateur différent ou a expiré / supprimé des cookies, mais au moins, vous pouvez garantir qu'il ne le sera pas. envoyé au site d'usurpation.
Autres conseils
Par définition, toute solution reposant sur le site et affichant des informations personnalisées une fois que vous êtes connecté est inefficace contre les phishers. Si vous avez tenté de vous connecter, ils ont déjà réussi !
FWIW, je ne connais pas encore la vraie réponse, peut-être que cette question vous proposera de bonnes idées. Je suis toutefois impliqué professionnellement dans la recherche sur le phishing, les enregistrements de noms de domaine incorrects, etc.
Je ne crois pas qu'il existe une solution technique significative que les développeurs de sites Web peuvent implémenter. Encore une fois, par définition, si vos utilisateurs arrivent sur un site de phishing, vous n’avez plus le contrôle.
C’est pourquoi toutes les technologies anti-phishing actuelles résident dans le navigateur, et non dans le site phishing.
Je pense que la seule solution est de programmer de meilleures personnes.
La personnalisation de l'apparence ou le téléchargement d'une image ne sont efficaces que si l'utilisateur à la question reconnaît en réalité que ces informations sont erronées. Je pense que la majorité des utilisateurs ne reconnaîtraient jamais ces éléments, à l'exception des sites qu'ils visitent souvent. Même s’ils le faisaient, ils pourraient l’attribuer à un changement de conception du site Web et non à un phishing.
Une solution consiste à personnaliser le site Web par utilisateur. Spoofing ne fonctionne que lorsque les utilisateurs ont fondamentalement la même vue du site Web (une parodie - plusieurs victimes). Ainsi, si, par exemple, eBay vous permettait de configurer une couleur d'arrière-plan personnalisée, vous devriez être en mesure de remarquer que la page que vous consultez présente une certaine parodie (celle-ci ne connaîtra pas votre choix de couleur). Une vraie solution est un peu plus complexe (comme peut-être un mot clé secret configuré dans le navigateur que seul ce dernier peut restituer dans les contrôles de mot de passe ou dans la barre d'URL, etc.), mais l'idée est la même.
Personnalisez l'interface utilisateur par utilisateur afin que l'usurpation d'identité (qui repose sur le fait que la plupart des utilisateurs s'attendent à voir la même interface utilisateur) cesse de fonctionner. Il peut s’agir d’une solution basée sur un navigateur ou de ce que les sites Web proposent à leurs utilisateurs (certains le font déjà).
J'ai déjà vu des sites vous permettant de sélectionner un "personnel". icône. Chaque fois que vous vous connectez, cette icône s'affiche pour prouver que vous vous trouvez sur leur site.
-
Vous pouvez poser une question lorsque l'utilisateur se connecte (une question que l'utilisateur a écrite avec la réponse).
-
Vous pouvez afficher une image après la connexion que l'utilisateur a téléchargée, si l'utilisateur ne voit pas sa photo (privée que seul lui pourrait voir), alors que ce n'est pas le vrai site Web.
