Come combattere lo spoofing / phishing del sito Web?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qual è la soluzione suggerita per la minaccia di spoofing dell'interfaccia utente del sito Web?
Soluzione
La chiave di questo problema è identificare una differenza tra una richiesta al sito reale e una richiesta al sito di spoof.
La differenza più semplice è una preferenza dell'interfaccia utente basata su cookie. Un cookie impostato sul tuo sito (reale) verrà sempre e solo restituito al tuo sito e non verrà mai inviato a un sito di spoofing.
Ora ci sono molte ragioni per cui il cookie valido potrebbe non essere inviato al tuo sito, l'utente potrebbe utilizzare un altro computer o potrebbero avere cookie scaduti / cancellati, ma almeno puoi garantire che non sarà inviato al sito di spoofing.
Altri suggerimenti
Per definizione, qualsiasi soluzione che si basa sul sito che mostra informazioni personalizzate una volta effettuato l'accesso è inefficace contro i phisher. Se hai tentato di accedere, sono già riusciti !
FWIW, non conosco ancora la vera risposta, forse questa domanda vomiterà alcune buone idee. Sono comunque coinvolto professionalmente nella ricerca di phishing, cattive registrazioni di domini, ecc.
Non credo ci sia alcuna soluzione tecnica significativa che gli sviluppatori di siti Web possano implementare. Ancora una volta, per definizione, se i tuoi utenti arrivano a un sito di phishing non hai più il controllo.
Ecco perché tutte le attuali tecnologie anti-phishing risiedono nel browser e non nel sito di phishing.
Penso che l'unica risposta qui sia programmare persone migliori.
Fare cose come personalizzare l'aspetto o caricare un'immagine funziona solo se l'utente in questione riconosce effettivamente quando queste cose sono sbagliate. Penso che la maggior parte degli utenti non riconoscerebbe mai queste cose se non per i siti che visitano molto. Anche se lo facessero, potrebbero attribuirlo a un cambiamento nella progettazione del sito Web e non a un phishing.
Una soluzione è personalizzare il sito Web per utente. Lo spoofing funziona solo quando gli utenti hanno sostanzialmente la stessa visione del sito Web (uno spoof - molte vittime). Quindi, se, ad esempio, eBay ti consente di configurare un colore di sfondo personalizzato, dovresti essere in grado di notare che la pagina che stai visualizzando è una parodia (che non conoscerà la tua scelta del colore). Una vera soluzione è un po 'più complessa (come forse una parola chiave segreta configurata nel browser che solo il browser può visualizzare nei controlli password o nella barra degli indirizzi, ecc.), Ma l'idea è la stessa.
Personalizza l'interfaccia utente per utente in modo che lo spoofing (che si basa sulla maggior parte degli utenti che si aspettano di vedere sostanzialmente la stessa interfaccia utente) smetta di funzionare. Può essere una soluzione basata su browser o qualcosa che i siti Web offrono ai loro utenti (alcuni già lo fanno).
Ho visto alcuni siti che ti consentono di selezionare un " personale " icona. Ogni volta che accedi, quell'icona viene visualizzata come prova che sei sul loro sito.
-
Puoi fare una domanda quando l'utente accede (una domanda che l'utente ha scritto con la risposta).
-
Puoi visualizzare un'immagine dopo il login che l'utente ha caricato, se l'utente non vede la sua foto (privata che solo lui potrebbe vedere) di quanto non sia il vero sito web.
