Phishing es un problema muy grave que enfrentamos. Sin embargo, los bancos son los principales objetivos. ¿Qué métodos puede usar un banco para protegerse de los ataques de phishing? ¿Qué métodos debería usar alguien para protegerse? ¿Por qué detiene los ataques?¿Cuál es la mejor manera de detener el phishing para la banca en línea?
La mejor manera de prevenir los ataques de suplantación de identidad debe depender de los medios técnicos que no requieren que el usuario entienda el problema. El público objetivo siempre será lo suficientemente grande como para encontrar a alguien que se deje engañar.
Una buena manera de prevenir los ataques es utilizar un mecanismo de autenticación que no se basa en una serie de autenticación simple frase de paso o transacción (TAN) que un atacante puede robar.
Métodos existentes, p. utilizar TAN dinámicas (TAN indexado o iTAN), o una TAN enviada en un canal separado a través de SMS (TAN móvil o mTAN), o - más segura y también evitando ataques en tiempo real en el medio - requieren que el usuario para firmar cada transacción, por ej. usando DigiPass o una tarjeta inteligente.
La razón de que esto no se aplica ampliamente es probable que todavía es más rentable para los bancos paguen por el daño de los ataques de phishing que invertir en seguridad.
¿Qué significa * TAN *? –
@Ben Voigt: Lo siento, pensé que esto era un acrónimo común, pero probablemente este término no se usa en todos los países. Agregué una referencia para la explicación. –
utiliza un certificado SSL EV, y luego poner un mensaje en sus páginas de inicio de sesión que indica a los usuarios a buscar la firma EV en su navegador.
Que sea claro en sus mensajes de correo electrónico que su banco nunca le pedirá un usuario para su contraseña. Configure un correo electrónico especial dedicado a la suplantación de identidad (phishing) para que los clientes puedan enviarle correos electrónicos sospechosos, y luego puede notificar a los clientes.
Esto ya está hecho. Los usuarios normalmente no notan la barra o _care_. –
Este es un problema general con los usuarios. A ellos nunca les importa. Solo comienzan a preocuparse cuando la mierda golpea al ventilador, y luego es tu culpa. – LukeN
Una vez vi una buena investigación donde se utiliza el bloqueo icono familiar como favicon * * a su sitio y que solo engañados suficientes usuarios en el pensamiento de que era genuina. – Joey
OMI, la mejor cosa que un banco puede hacer es educar a sus usuarios sobre cuándo y cómo van a comunicarse con ellos. Muchos usuarios no tienen idea de qué es el phishing y, por lo tanto, mostrarles ejemplos y concienciarlos sobre el fraude hará más que cualquier solución técnica (aunque el aspecto técnico debería perseguirse de forma tan enérgica). Un usuario consciente de que el phishing puede ocurrir será mucho menos probable que caiga presa de él.
Por desgracia, los usuarios más conscientes son los riesgos de seguridad y el hecho de que está intentando luchar contra ellos, tanto más probable será que caer presa de cualquier método de ingeniería social, como un e-mail diciendo "Para ayudar a mantener su experiencia de banca en línea seguro, proporcionamos a todos nuestros clientes una copia complementaria de * lo que sea * suite antivirus ". El instalador, por supuesto, no es una herramienta de seguridad genuina sino un keylogger. –
@Ben - No estoy tan seguro. Supongo que depende de cómo lo hagas. Yo diría: solo le enviaremos un correo electrónico por las siguientes razones: A, B, C, etc. Cualquier otro correo electrónico no es nuestro y debe ser tratado con recelo. Además, aquí hay maneras en que puede identificar correos electrónicos de phishing: URL incorrecto o correo electrónico, errores ortográficos, pobres o ligeramente-off gráficos, las peticiones de contraseña, peticiones sospechosas, etc. – VirtuosiMedia
enseñándoles a pensar críticamente ayudaría a aliviar esa preocupación, es decir, * ¿por qué mi banco me pide que instale un software antivirus * – VirtuosiMedia
El phishing generalmente funciona dirigiendo al consumidor a una versión raspada del sitio web. Un método que comienza a ser más común es un sitio web dinámico, donde después de ingresar el nombre de usuario y antes de ingresar la contraseña, el sitio del banco revela alguna imagen o frase elegida por el consumidor, que llamaré contra-contraseña. En esencia, el consumidor no solo debe presentar una contraseña válida, también lo hace el banco. Autenticacion mutua.
El sitio de phishing no puede mostrar la contra-passwordwithout correcta consultar el banco, y esto le da al banco la oportunidad de detectar, confundir, y procesar el proxy.
Esto se puede mejorar con el uso de un canal de comunicación fuera de banda. Si la dirección IP que realiza la solicitud (que sería el proxy, posiblemente a través del enrutamiento de cebolla) no es una de la que el consumidor haya iniciado sesión antes, envíe al consumidor un SMS con un código único que deben usar adicionalmente antes de la contrademanda. la contraseña se revela y el inicio de sesión está habilitado.
Otros métodos son para que el navegador guarde en caché el certificado de servidor correcto e informe al consumidor cuando visita un sitio sin un certificado en caché, advirtiendo al consumidor que este no es el sitio familiar que usaron anteriormente.
Me gusta la idea de que el banco tenga que proporcionar una contraseña de contador. – ChrisF
Para ver un ejemplo de esto, consulte Yahoo! correo. –
Dudo que esto funcione. Usted dice que el banco podría detectar el proxy. Tal proxy puede estar usando una IP diferente para cada solicitud, usar una red de bots o cualquier tecnología que necesite para permanecer en el anonimato. A continuación, puede ejecutar un ataque man-in-the-the-middle en tiempo real eludiendo la seguridad de contraseñas. Por supuesto, esto es algo más avanzado que simplemente robar contraseñas de sitios falsos. –
La forma más fácil para mitigarlo desde una perspectiva banco sería educar a los clientes sobre la creación de la cuenta de que (a) El Banco no tienen dirección de correo electrónico del cliente, por lo que simplemente no puede enviar correos a ellos y (b) envíe una carta a cada cliente existente una vez, explicándoles lo mismo.
Para el cliente, esto tiene la ventaja de que sabrá que cada vez que recibe un correo que dice proceder de su banco, no puede ser real.
Desafortunadamente, los bancos sí tienen la dirección de correo electrónico del cliente, por lo que pueden (y lo hacen) enviarle correos electrónicos legítimos. – ChrisF
Yo, por ejemplo, me gusta la banca en línea. Entonces mi banco tiene mi dirección de correo electrónico y se espera que la use. Solo ha habido una ocasión en la que no pude determinar de inmediato si un correo electrónico era legítimo (uno de los "para continuar usando su cuenta debe iniciar sesión y completar este formulario", pero aparte de esa señal de advertencia fue perfecto/correcto nombre legal, buenas URLs, etc.) Cerré mi navegador, llamé al banco usando el número guardado en mi teléfono (no el que está en el correo electrónico), y después de determinar que efectivamente enviaron ese mensaje, le pregunté al representante transmitir mi opinión extremadamente negativa. –
Mi banco * no * tiene mi dirección de correo electrónico y tengo la intención de mantenerlo de esa manera. La banca en línea por aquí no está vinculada a una dirección de correo electrónico tampoco. Sin embargo, me sorprendió bastante que otro banco, al abrir una cuenta, * exigiera * que supiera mi dirección de correo electrónico (desde mi punto de vista, enviaron correos no deseados). Todavía hacían todas las cosas importantes por correo postal, por lo que la dirección de correo electrónico parecía ser exclusivamente para publicidad, pero aún así obligatoria. – Joey
Recomiendo analizar el fraude bancario en línea en función de los tipos de ataques: credenciales robadas, Hombre en el medio y malware/hombre en el navegador y cómo la autenticación puede frustrarlos: autenticación de dos factores para las sesiones , autenticación mutua para evitar MITM y autenticación de transacciones para MitB. Escribí un artículo sobre esto en 2006: http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1 y escribí un tutorial de doc. Sobre la autenticación https mutua: http://www.howtoforge.com/prevent_phishing_with_mutual_authentication. Los certificados EV son de poco valor adicional por muchas de las mismas razones que el ssl estándar de poco valor: nadie sabe cómo validar un certificado y no se puede confiar en la UI. Usar imágenes no tiene ningún valor y es una experiencia de usuario realmente molesta.
Mientras SMS es mejor que las contraseñas estáticas, que está a continuación, confiando en la seguridad de las empresas de telefonía celular. Sin embargo, dado que tienen tantos usuarios y el aumento de la seguridad de sus sistemas significa más llamadas al servicio de asistencia, los incentivos no están alineados. Además, consulte el último snafu con las direcciones de correo electrónico del iPad donde ni siquiera se siguieron los principios básicos de seguridad.
Los bancos deben tomar en serio el diseño de sistemas y/o el uso de proveedores que basan su arquitectura en sólidos principios de seguridad y siguen las técnicas de cifrado estándar en lugar de markecture con el objetivo de cumplir con los estándares mínimos de cumplimiento.
¿Está relacionado con la programación? No veo muy bien cómo una técnica de ingeniería social puede ser mitigada por métodos técnicos y las técnicas no técnicas no caerán en el ámbito de la programación. – Joey
@Johannes Rössel: Está relacionado con la programación ya que hay contramedidas que se pueden implementar en el software (por ejemplo, firmas digitales). –
@MrXexxed: Todos son estúpidos; incluso yo. Alguien obtiene acceso a una clave de firma raíz confiable, puede crear un sitio web que se ve exactamente como el tuyo, hasta la misma URL y un certificado SSL confiable y válido. Todos son estúpidos; incluso yo. –