【发布时间】:2008-12-05 18:18:59
【问题描述】:
对于网站 UI 欺骗威胁,您建议的解决方案是什么?
【问题讨论】:
标签: security user-interface spoofing phishing
【发布时间】:2008-12-05 18:18:59
【问题描述】:
根据定义,任何依赖于网站向您显示个性化信息的解决方案在您登录后对网络钓鱼者无效。如果您尝试过登录,他们已经成功了!
FWIW,我还不知道真正的答案,也许这个问题会引发一些好主意。然而,我专业从事网络钓鱼、不良域名注册等方面的研究。
我不相信网站开发人员可以实施任何重要的技术解决方案。同样,根据定义,如果您的用户到达网络钓鱼网站,您将无法再控制。
这就是为什么所有当前的反网络钓鱼技术都驻留在浏览器中,而不是在网络钓鱼站点中。
【讨论】:
-
不,这只是意味着它确实是针对您已经拥有帐户的网站的网络钓鱼的有效措施。这是解决方案的重要组成部分。它没有解决登录前阶段的事实并没有说明它在之后的有效性。
这个问题的关键是识别对真实站点的请求和对欺骗站点的请求之间的一些区别。
最简单的区别是一些基于 cookie 的 UI 偏好。在您的(真实)网站上设置的 cookie 只会返回到您的网站,并且永远不会发送到恶搞网站。
现在有很多原因可能导致有效的 cookie 无法发送到您的网站,用户可能正在使用不同的计算机,或者他们的 cookie 可能已过期/已删除,但至少您可以保证它不会被发送到恶搞网站。
【讨论】:
-
这个问题就是所谓的“降级攻击”。用户如何区分钓鱼网站和无论出于何种原因无法发送所需 cookie 的真实网站。
-
他们会以同样的方式知道 - 通过查看 URL。关键是如果没有定制的 UI,他们会在输入凭据时保持警惕
-
无论如何——作为一个网站——你能保证的唯一真实信息只会发送到你的网站是基于 cookie 的东西
-
谢谢,车。让我(和其他读者)知道你会改进它:)
我认为这里唯一的答案是为更好的人编程。
只有当有问题的用户真正意识到这些事情是错误的时,才可以进行自定义外观或上传图片等操作。我认为除了他们经常访问的网站之外,大多数用户永远不会认出这些东西。即使他们这样做了,他们也可能将其归因于网站设计的变化,而不是网络钓鱼。
【讨论】:
一种解决方案是为每个用户定制网站。只有当用户对网站的看法基本相同时,欺骗才有效(一个欺骗 - 许多受害者)。因此,例如,如果 eBay 允许您配置自定义背景颜色,您应该能够注意到您正在查看的页面是一些恶搞(不知道您选择的颜色)。一个真正的解决方案要复杂一些(比如可能在浏览器中配置了一个秘密关键字,只有浏览器才能在密码控件或 url 栏中呈现等),但想法是一样的。
为每个用户自定义 UI,这样欺骗(依赖于大多数用户希望看到基本相同的 UI)停止工作。它可以是基于浏览器的解决方案,也可以是网站向用户提供的东西(有些已经这样做了)。
【讨论】:
-
个人定制并不好 - 一个真正的网站在您登录之前不知道您是谁,因此冒充他们的网络钓鱼者已经拥有您的凭据。
我看到一些网站可以让您选择“个人”图标。每当您登录时,该图标就会显示为您在他们网站上的证明。
【讨论】:
-
恶搞网站可以轻松获取您的登录详细信息并从真实网站收集正确个人图标并将其显示给您
您可以在用户登录时提出问题(用户已写下答案的问题)。
-
如果用户没有看到他的图片(只有他可以看到的私人图片),那么您可以在用户上传的登录后显示一张图片,而不是真实的网站。
李>
【讨论】:
-
这些解决方案仍然需要您输入凭据才能确认您在正确的站点上。
-
ok,前面的问题写在哪里?
-
@Daok:标题的
phishing部分(很微妙,不是吗?) - 网络钓鱼的全部目的是通过伪装成合法网站来收集凭据,对吧?跨度> -
好吧,如果你有我描述的这种机制,你就会知道你是否被钓鱼并采取一些措施来阻止它。对吗?
-
但为时已晚。届时,网络钓鱼者拥有的僵尸网络可能已经更改了密码、电汇资金等。