5
¿Cuál es su solución sugerida para la amenaza de simulación de interfaz de usuario del sitio web?¿Cómo se combate la suplantación/phishing del sitio web?
A
Respuesta
1
La clave de este problema es identificar alguna diferencia entre una solicitud al sitio real y una solicitud al sitio falso.
La diferencia más simple es alguna preferencia de UI basada en cookies. Una cookie establecida en su sitio (real) solo será devuelta a su sitio, y nunca será enviada a un sitio fraudulento.
Ahora hay muchas razones por las cuales la cookie válida podría no enviarse a su sitio, el usuario podría estar usando una computadora diferente o podrían haber caducado/eliminado las cookies, pero al menos puede garantizar que no lo hará ser enviado al sitio falso.
0
Una solución es personalizar el sitio web por usuario. La suplantación solo funciona cuando los usuarios tienen básicamente la misma vista del sitio web (una sola parodia, muchas víctimas). Entonces, si, por ejemplo, eBay le permite configurar un color de fondo personalizado, debería poder notar que la página que está viendo es una parodia (que no conocerá su color de elección). Una solución real es un poco más compleja (como una palabra clave secreta configurada en el navegador que solo el navegador puede mostrar dentro de los controles de contraseña o en la barra de direcciones, etc.), pero la idea es la misma.
Personalice la interfaz de usuario por usuario para que la suplantación (que depende de la mayoría de los usuarios que esperan ver básicamente la misma interfaz de usuario) deje de funcionar. Puede ser una solución basada en navegador, o algo que los sitios web ofrecen a sus usuarios (algunos ya lo hacen).
+0
personalización personal no es buena, un sitio real no sabe quién es usted hasta que haya iniciado sesión, por lo que un phisher que pretenda serlo ya tendría sus credenciales. – Alnitak
-1
He visto algunos sitios que le permiten seleccionar un ícono "personal". Cada vez que inicie sesión, ese icono se muestra como prueba de que se encuentra en su sitio.
-1
Puede hacer una pregunta cuando el usuario inicia sesión (una pregunta que el usuario ha escrito con la respuesta).
Puede mostrar una imagen después del inicio de sesión que el usuario ha cargado, si el usuario no ve su imagen (privada que solo él podía ver) que no es el sitio web real.
+0
Estas soluciones aún dependen de que ingrese su credenciales antes de obtener la confirmación de que estás en el sitio correcto. – Gareth
+0
¿Está bien, está escrito en la pregunta que se debe hacer antes? –
+0
@Daok: la parte '' phishing'' del título (sutil, ¿no?): El objetivo de la suplantación de identidad (phishing) es recopilar credenciales al pretender ser un sitio legítimo, ¿no? –
5
Por definición, cualquier solución que se basa en el sitio que le muestra información personalizada una vez que haya entrado en el sistema es ineficaz contra los estafadores. Si ha intentado iniciar sesión, ya han tenido éxito!
FWIW, aún no conozco la respuesta real, tal vez esta pregunta arroje algunas buenas ideas. Sin embargo, estoy involucrado profesionalmente en la investigación de phishing, registros de dominios incorrectos, etc.
No creo que haya ninguna solución técnica significativa que los desarrolladores de sitios web puedan implementar. De nuevo, por definición, si sus usuarios llegan a un sitio de phishing, ya no tienen el control.
Es por eso que todas las tecnologías antiphishing actuales residen en el navegador y no en el sitio de phishing.
+0
No, eso solo significa que de hecho es una medida efectiva contra el pishing para sitios con los que ya tienes una cuenta. Esa es una gran parte de la solución. El hecho de que no resuelva la fase previa al inicio de sesión no dice nada sobre su efectividad después. –
1
Creo que la única respuesta aquí es programar a mejores personas.
Hacer cosas como personalizar la apariencia o cargar una imagen solo funciona si el usuario en las preguntas realmente reconoce cuando estas cosas son incorrectas. Creo que la mayoría de los usuarios nunca reconocería estas cosas, excepto los sitios que visitan mucho. Incluso si lo hicieran, podrían atribuirlo a un cambio en el diseño del sitio web y no a un phishing.
Cuestiones relacionadas
- 1. ¿Cómo se genera la navegación del sitio web?
- 2. ¿Cómo se cifran las contraseñas del sitio web mediante navegadores?
- 3. Imprimir automáticamente la imagen del sitio web
- 4. Obtener datos del sitio web
- 5. Seguridad del sitio web: ¿cómo aprender?
- 6. ¿Podemos medir la complejidad del sitio web?
- 7. ¿Cómo proteger el recurso del sitio web de la descarga?
- 8. ¿Cómo establecer la codificación predeterminada del sitio web de IIS?
- 9. Selección del idioma del sitio web
- 10. ¿Cómo perfilas tu sitio web/aplicación web?
- 11. obtener valor de la etiqueta del cuerpo del sitio web
- 12. Mapa del sitio en un sitio web altamente dinámico
- 13. Ticketing escalable/sitio web del festival
- 14. Sistema de insignia del sitio web
- 15. cómo proteger mi sitio web
- 16. Despliegue del sitio web en Amazon AWS
- 17. Carpeta diferente como subcarpeta del sitio web
- 18. sitio web a la imagen
- 19. Enlace a la página de índice del sitio web
- 20. Optimización del sitio web de PHP
- 21. ¿Cómo se pone un enlace/url en la página de inicio del sitio web en Django?
- 22. , anulando funciones del sitio web de Greasemonkey
- 23. Obtener la raíz del sitio web de NSString o NSUrl
- 24. Comprobando la redirección del sitio web, mediante programación
- 25. Obtenga solo la parte relevante del sitio web
- 26. Solución de análisis web para el creador del sitio web
- 27. Revisión del sitio web Aplicación/Interfaz
- 28. ¿Cómo implementar la seguridad del sitio web en función del hardware del cliente u otra solución?
- 29. Sitio web que habla con la aplicación del cliente?
- 30. Ralentización de spidering del sitio web
El problema con esto es el llamado "ataque de bajada de categoría". ¿Cómo puede el usuario distinguir entre un sitio de phishing y un sitio real que por algún motivo no puede enviar la cookie requerida? – Alnitak
De la misma manera que nunca lo sabrían, mirando la URL. El punto sería que sin la interfaz de usuario personalizada tendrían cuidado de introducir sus credenciales – Gareth
En cualquier caso, como sitio web, la única información real que puede garantizar que solo se envía a su sitio es algo basado en cookies – Gareth