Как вы боретесь с подделкой / фишингом сайта?

Question

Как вы предлагаете решение для угрозы подмены пользовательского интерфейса сайта?

Answer 1

По определению, любое решение, основанное на сайте, показывающем вам персонализированную информацию после входа в систему , неэффективно против фишеров. Если вы попытались войти, они уже преуспели !

FWIW, я пока не знаю реального ответа, возможно, этот вопрос поднимет некоторые хорошие идеи. Однако я профессионально занимаюсь фишингом, регистрацией доменов и т. Д.

Я не верю, что есть какое-либо существенное техническое решение, которое разработчики веб-сайтов могут реализовать. Опять же, по определению, если ваши пользователи приходят на фишинговый сайт, вы больше не контролируете его.

Именно поэтому все текущие антифишинговые технологии находятся в браузере, а не на фишинговом сайте.

Answer 2

Я думаю, что единственный ответ здесь - программировать лучших людей.

Выполнение таких вещей, как настройка внешнего вида или загрузка изображения, работает только в том случае, если пользователь в вопросах действительно распознает, когда эти вещи неправильны. Я думаю, что большинство пользователей никогда не узнает эти вещи, за исключением сайтов, которые они посещают много. Даже если они это сделают, они могут объяснить это изменением дизайна сайта, а не фишингом.

Answer 3

Ключом к этой проблеме является выявление некоторой разницы между запросом к реальному сайту и запросом к поддельному сайту.

Самым простым отличием является предпочтение пользовательского интерфейса на основе файлов cookie. Файл cookie, установленный на вашем (реальном) сайте, будет возвращен только на ваш сайт и никогда не будет отправлен на поддельный сайт.

В настоящее время существует множество причин, по которым действительный файл cookie не может быть отправлен на ваш сайт, пользователь может использовать другой компьютер или у него могут быть файлы cookie с истекшим сроком действия / удалены, но по крайней мере вы можете гарантировать, что он не будет отправлено на поддельный сайт.

Answer 4

• Вы можете задать вопрос при входе пользователя в систему (вопрос, который пользователь написал с ответом).

• Вы можете отобразить изображение после входа в систему, загруженного пользователем, если пользователь не видит свою фотографию (личную, которую мог видеть только он), чем это не настоящий веб-сайт.

Answer 5

Я видел несколько сайтов, на которых можно выбрать «личный» значок. Всякий раз, когда вы входите в систему, этот значок отображается в качестве доказательства того, что вы находитесь на их сайте.

Answer 6

Одним из решений является настройка веб-сайта для каждого пользователя. Спуфинг работает только тогда, когда пользователи имеют практически одинаковое представление о сайте (один обман - много жертв). Так что, если, например, eBay позволит вам настроить собственный цвет фона, вы должны заметить, что просматриваемая страница является некоторой подделкой (которая не будет знать ваш выбор цвета). Реальное решение немного сложнее (как, например, секретное ключевое слово, настроенное в браузере, которое может отображать только браузер в элементах управления паролем или в строке URL и т. Д.), Но идея та же.

Настройте пользовательский интерфейс для каждого пользователя, чтобы спуфинг (который полагается на большинство пользователей, ожидающих увидеть в основном тот же пользовательский интерфейс) перестает работать. Это может быть решение на основе браузера или что-то, что веб-сайты предлагают своим пользователям (некоторые уже делают).