ウェブサイトのなりすまし/フィッシングにどう対処しますか?
-
19-08-2019 - |
質問
ウェブサイトUIのなりすましの脅威に対する推奨される解決策は何ですか?
解決
この問題の鍵は、実際のサイトへのリクエストとなりすましサイトへのリクエストの違いを特定することです。
最も単純な違いは、CookieベースのUI設定です。 (実際の)サイトに設定されたCookieはサイトにのみ返され、スプーフィングサイトには送信されません。
有効なCookieがサイトに送信されない、ユーザーが別のコンピューターを使用している、Cookieの有効期限が切れている/削除されているなどの理由はたくさんありますが、少なくとも、Cookieが送信されないことは保証できますなりすましサイトに送信されました。
他のヒント
定義により、サイトに依存してパーソナライズされた情報を表示するソリューションは、一度ログインすると、フィッシング詐欺に対して無効です。ログインしようとした場合、既に成功しています!
FWIW、私はまだ本当の答えを知りません。おそらくこの質問は良いアイデアを投げ出すでしょう。しかし、私はフィッシング、不正なドメイン登録などの研究に専門的に関与しています。
Webサイト開発者が実装できる重要な技術的ソリューションがあるとは思わない。繰り返しになりますが、定義上、ユーザーがフィッシングサイトにアクセスすると、あなたはもはや制御できなくなります。
これが、現在のすべてのフィッシング対策技術がフィッシングサイトではなくブラウザに存在する理由です。
ここでの唯一の答えは、より良い人々をプログラムすることだと思います。
外観のカスタマイズや画像のアップロードなどの操作は、問題のユーザーが実際にこれらの問題を認識した場合にのみ機能します。多くのユーザーは、頻繁にアクセスするサイトを除き、これらのことを認識しないと思います。たとえ彼らがそれを行ったとしても、それはフィッシングではなくウェブサイトのデザインの変更に起因する可能性があります。
1つの解決策は、ユーザーごとにWebサイトをカスタマイズすることです。なりすましは、ユーザーが基本的に同じWebサイトを表示している場合にのみ機能します(1つのなりすまし-多くの被害者)。たとえば、eBayでカスタムの背景色を設定できる場合、表示しているページが偽装(色の選択を知らない)であることに気付くはずです。実際のソリューションはもう少し複雑です(パスワードコントロール内やURLバーなどにブラウザのみが表示できるブラウザで設定された秘密のキーワードなど)が、考え方は同じです。
ユーザーごとにUIをカスタマイズして、スプーフィング(基本的に同じUIを期待するほとんどのユーザーに依存)が機能しなくなるようにします。ブラウザーベースのソリューション、またはWebサイトがユーザーに提供するもの(一部は既に提供しているもの)です。
<!> quot; personal <!> quot;を選択できるサイトをいくつか見ました。アイコン。ログインするたびに、そのアイコンは、あなたがそのサイトにいる証拠として表示されます。
-
ユーザーがログインするときに質問(ユーザーが答えを書いた質問)をすることができます。
-
ユーザーが自分の写真を表示しない場合(ユーザーだけが見ることができるプライベート)、実際のウェブサイトではない場合、ユーザーがアップロードしたロギンの後に画像を表示できます。