Каковы наилучшие способы предотвратить фишинг вашего сайта?

Question

Каковы наилучшие способы предотвратить фишинг вашего сайта? Пожалуйста, приведите несколько технических предложений и ссылок, если это возможно.

Спасибо!

Answer 1

Сайты не фишинговые - пользователи. Максимум, что вы можете сделать, это получить сертификат SSL и на экране входа в систему сделать огромное количество золотых замков и доменных имен (спасибо кодека) и тому подобное.

Answer 2

Не уверен, что это именно то, что вы имеете в виду, но иногда веб-сайты могут быть «взломаны» с помощью CSRF или XSS атак.

XSS может особенно возникнуть, когда вы разрешаете пользователям вводить произвольный текст и не гарантируете, что они не вводят произвольный HTML-код.

CSRF может произойти, если вы не гарантируете, что кто-то нажимает в своем браузере ссылку, созданную на вашем веб-сайте (они могут пройти проверку подлинности на вашем веб-сайте, получить файл cookie, указывающий, что они прошли проверку подлинности, открыть новую вкладку и обманным путем нажать ссылка на другой веб-сайт на другой вкладке, которая указывает на ваш веб-сайт и вызывает там какие-либо действия).

В этих ссылках обсуждаются стратегии смягчения последствий.

Answer 3

Вы можете использовать одноразовый пароль (OTP) с помощью мобильного смс или электронной почты для предотвращения фишинг-атаки. И вместо того, чтобы запрашивать OTP для всех входов в систему, вы можете сделать это один раз, когда есть новый IP. Это может быть менее раздражающим для пользователя.

Answer 4

То, что показывает результат, может не быть фишингом, но одна вещь, которую я заметил на фишинговом сайте, это то, что есть много папок длиной 32 символа, и этих папок много. Внутри каждой папки вы можете найти фишинговый контент. Используйте следующую команду, чтобы найти папки с 32-символьным длинным именем, и отсканируйте вручную, чтобы проверить, является ли он фишинговым или нет.

#find /home*/*/public_html/* -type d -name "????????????????????????????????" > phishing.txt

Вы можете использовать другие методы и можете поделиться, если хотите.

Answer 5

Мне не нравится ценник, и я не совсем убежден в его полезности, но EV SSL рекламируется как профилактическая мера.

Кроме того, как указывает m0s, показ выбранной пользователем информации, например изображений, в какой-то момент во время или после процесса аутентификации является шагом, предпринимаемым некоторыми сайтами, например банками.

Рабочая группа по борьбе с фишингом имеет список решений , предназначенных для веб-разработчиков.

Ничто из перечисленного не является верным решением, поскольку реальный ключ - это информированность и осторожность пользователей, но они определенно не могут навредить.

Answer 6

Сайт BOFA делает что-то интересное, что мне действительно нравится, и я верю, что это помогает. Они заставляют вас выбирать значок изображения из набора, когда вы регистрируете свою учетную запись, и каждый раз, когда вы входите в систему, он отображает это изображение ... если изображение не совпадает или не представляет его знак для пользователя, что они находятся .. ..

Answer 7

Разговор об использовании безопасных браузеров (не IE) и о проблемах проверки сайта, которые включают в себя простую проверку (зеленый сертификат «доменное имя» рядом с URI в Firefox, который зеленый, указывает на проверенный сайт). Редактировать: следовательно, этот конкретный метод побеждает поддельные сайты, которые используют одинаково напечатанные символы (кириллица и т. Д.)

Answer 8

Я думаю, что фишинг может сильно варьироваться от веб-сайта к пользователям. Я могу создать новый веб-сайт gmail с другим доменным именем, например gmai1.com (номер 1, а не l), и отправить его всем, чтобы войти на мою электронную почту. Как вы можете предотвратить это? Пользователи обычно должны быть осторожны. Здесь действительно трудно иметь серебряную пулю