Как бороться со спуфингом/фишингом веб-сайтов?
https://stackoverflow.com/questions/344719
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Какое решение вы предлагаете для устранения угрозы подделки пользовательского интерфейса веб-сайта?
Решение
Ключом к этой проблеме является выявление некоторой разницы между запросом к реальному сайту и запросом к поддельному сайту.
Самое простое отличие заключается в предпочтениях пользовательского интерфейса на основе файлов cookie. Файл cookie, установленный на вашем (реальном) сайте, будет возвращен только на ваш сайт и никогда не будет отправлен на поддельный сайт.
В настоящее время существует множество причин, по которым действительный файл cookie не может быть отправлен на ваш сайт, пользователь может использовать другой компьютер или у него могут быть файлы cookie с истекшим сроком действия / удалены, но по крайней мере вы можете гарантировать, что он не будет отправлено на поддельный сайт.
Другие советы
По определению, любое решение, основанное на сайте, показывающем вам персонализированную информацию после входа в систему , неэффективно для фишеров. Если вы пытались войти в систему, они уже успешно !
FWIW, я пока не знаю реального ответа, может быть, этот вопрос поднимет некоторые хорошие идеи. Однако я профессионально занимаюсь фишингом, регистрацией доменов и т. Д.
Я не верю, что есть какое-либо существенное техническое решение, которое разработчики веб-сайтов могут реализовать. Опять же, по определению, если ваши пользователи приходят на фишинговый сайт, вы больше не контролируете его.
Вот почему все текущие антифишинговые технологии находятся в браузере, а не на фишинговом сайте.
Я думаю, что единственный ответ здесь - программировать лучших людей.
Такие вещи, как настройка внешнего вида или загрузка изображения, работают только в том случае, если пользователь в вопросах действительно распознает, когда эти вещи неправильны. Я думаю, что большинство пользователей никогда не узнает эти вещи, за исключением сайтов, которые они посещают много. Даже если они это сделают, они могут объяснить это изменением дизайна сайта, а не фишингом.
Одним из решений является настройка веб-сайта для каждого пользователя. Спуфинг работает только тогда, когда пользователи имеют практически одинаковое представление о сайте (один обман - много жертв). Так что, если, например, eBay позволит вам настроить собственный цвет фона, вы должны заметить, что просматриваемая страница является некоторой подделкой (которая не будет знать ваш выбор цвета). Реальное решение немного сложнее (как, например, секретное ключевое слово, настроенное в браузере, которое может отображать только браузер в элементах управления паролем или в строке URL-адреса и т. Д.), Но идея та же.
Настройте пользовательский интерфейс для каждого пользователя, чтобы спуфинг (который полагается на большинство пользователей, ожидающих увидеть в основном тот же пользовательский интерфейс) перестает работать. Это может быть решение на основе браузера или что-то, что веб-сайты предлагают своим пользователям (некоторые уже делают).
Я видел несколько сайтов, которые позволяют вам выбрать " персональный " значок. Всякий раз, когда вы входите в систему, этот значок отображается в качестве доказательства того, что вы находитесь на их сайте.
Вы можете задать вопрос при входе пользователя в систему (вопрос, который написал пользователь с ответом).
Вы можете отобразить изображение после входа в систему, которое загрузил пользователь, если пользователь не видит свое изображение (частное, которое может видеть только он), то это не настоящий веб-сайт.
