Como você website combate spoofing / phishing?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Qual é a sua solução sugerida para a ameaça de spoofing website UI?
Solução
A chave para este problema é identificar alguma diferença entre um pedido para o site real e um pedido para o site spoof.
A diferença simples é alguma preferência UI baseada em cookie. Um conjunto cookie no seu (real) local só vai ser devolvido ao seu site, e nunca será enviado para um site de paródia.
Agora, existem muitas razões que o cookie válido não pode ser enviado para o seu site, o usuário pode estar usando um computador diferente ou eles podem ter expirado / cookies eliminados, mas pelo menos você pode garantir que não será enviado para o site spoof.
Outras dicas
Por definição, qualquer solução que se baseia no site mostrando-lhe informação personalizada , uma vez que você entrou é ineficaz contra phishers. Se você já tentou login, que eles já conseguiram !
FWIW, eu ainda não sei a resposta real, talvez essa pergunta vai vomitar algumas boas idéias. Estou no entanto profissionalmente envolvidos na investigação de phishing, registros de domínio ruins, etc.
Eu não acredito que haja qualquer solução técnica significativa que os desenvolvedores web site podem implementar. Mais uma vez, por definição, se os usuários chegam a um site de phishing você não está mais no controle.
É por isso que todas as atuais tecnologias anti-phishing residem no navegador, e não no local phished.
Eu acho que a única resposta aqui é programar melhor as pessoas.
Fazer as coisas como personalizar a aparência ou upload de uma imagem só funcionam se o usuário em questões reconhece na verdade, quando estas coisas estão erradas. Eu acho que a maioria dos usuários nunca iria reconhecer essas coisas, exceto para os sites que eles visitam um monte. Mesmo se eles fizeram eles podem atribuí-la a uma mudança no design do site e não um phish.
Uma solução é personalizar o web site por usuário. Spoofing só funciona quando os usuários têm basicamente o mesmo ponto de vista do site (uma paródia - muitas vítimas). Assim, se, por exemplo, eBay iria deixá-lo configurar uma cor de fundo personalizado, você deve ser capaz de aviso de que a página que você está vendo alguma paródia (que não saberá sua escolha da cor). A solução real é um pouco mais complexa (como talvez uma palavra-chave secreta configurado no navegador que apenas o navegador pode render dentro de controles de senha ou na barra de URL, etc.), mas a idéia é a mesma.
Personalizar a interface do usuário por usuário de modo spoofing (que conta com a maioria dos usuários que esperam para ver basicamente o mesmo UI) pára de funcionar. Pode ser uma solução baseada em navegador, ou sites de algo web oferecem aos seus usuários (alguns já o fazem).
Eu vi alguns sites que permitem selecionar um ícone de "pessoal". Sempre que você fizer login, esse ícone é exibido como prova de que você está no seu site.
-
Você pode fazer uma pergunta quando o login do usuário (uma pergunta que o usuário tenha escrito com a resposta).
-
Você pode exibir uma imagem após o loggin que o usuário tenha carregado, se o usuário não ver sua imagem (privada que só ele podia ver) que não é o site real.
