Что лучший способ состоит в том, чтобы остановить фишинг для онлайна - банкинга? [закрытый]
6 ответов
Лучший способ предотвратить фишинговые атаки - это использовать технические средства, которые не требуют от пользователя понимания проблемы. Целевая аудитория всегда будет достаточно большой, чтобы найти того, кого обманут.
Хороший способ предотвратить атаки - использовать механизм аутентификации , который не полагается на простую парольную фразу или номер аутентификации транзакции ( TAN ), которые злоумышленник может украсть. .
Существующие методы, например использовать динамические TAN (индексированный TAN или iTAN ), или TAN, отправленный по отдельному каналу через SMS (мобильный TAN или mTAN ), или - наиболее безопасный, а также предотвращающий от реального времени Атаки типа "человек посередине" - требуют, чтобы пользователь подписывал каждую транзакцию, например с помощью DigiPass или смарт-карты.
Причина, по которой это не применяется широко, вероятно, состоит в том, что для банков по-прежнему более рентабельно платить за ущерб от фишинговых атак, чем инвестировать в безопасность.
Используйте сертификат EV SSL, а затем разместите сообщение на страницах входа в систему, в котором пользователям предлагается искать подпись EV в своем браузере.
Дайте понять в своих письмах, что ваш банк никогда не будет спрашивать у пользователя пароль. Настройте специальную электронную почту, предназначенную для фишинга, чтобы клиенты могли отправлять вам подозрительные электронные письма, а затем вы могли уведомлять клиентов.
Фишинг обычно работает, направляя пользователя на соскобленную версию сайта. Один из методов, который становится все более распространенным, - это динамический сайт, где после ввода имени пользователя и перед вводом пароля сайт банка показывает некое изображение или фразу, выбранную потребителем, которую я буду называть контрпаролем. По сути, не только потребитель должен предъявить действительный пароль, но и банк. Взаимная аутентификация.
Фишинговый сайт не может показать правильный контрпароль без запроса банка, и это дает банку возможность обнаружить, запутать и преследовать прокси.
Это может быть усилено использованием внеполосного канала связи. Если IP-адрес, делающий запрос (который будет прокси, возможно, через луковую маршрутизацию), не тот, с которого потребитель входил в систему раньше, отправьте потребителю SMS с одноразовым кодом, который он должен дополнительно использовать, прежде чем будет раскрыт контрпароль и включен вход.
Другие методы заключаются в том, чтобы браузер кэшировал правильный сертификат сервера и сообщал потребителю, когда он посещает сайт без кэшированного сертификата, тем самым предупреждая потребителя, что это не тот знакомый сайт, которым он пользовался раньше.
Самый простой способ смягчить его с точки зрения банка - это информировать клиентов при создании учетной записи, что (а) у банка нет адреса электронной почты клиента, поэтому он просто не может отправлять им письма и (б) отправить письмо каждому существующему клиенту один раз, объясняя то же самое.
Для клиентов это имеет то преимущество, что они будут знать, что всякий раз, когда они получают письмо, в котором утверждается, что оно пришло из их банка, оно не может быть реальным.
IMO, лучшее, что может сделать банк, это обучить своих пользователей тому, когда и как он будет с ними общаться. Многие пользователи не имеют представления о том, что такое фишинг, поэтому демонстрация примеров и повышение их осведомленности о мошенничестве сделают больше, чем любое техническое решение (хотя техническая сторона должна преследоваться так же активно). Пользователь, знающий, что фишинг может иметь место, с гораздо меньшей вероятностью станет его жертвой.
Я рекомендую анализировать мошенничество с онлайн-банкингом на основе типов атак: украденные учетные данные, злоумышленник-посредник и вредоносное ПО / человек-в-браузере, а также то, как аутентификация может помешать им: двухфакторная аутентификация для сессий, взаимная аутентификация для предотвращения MITM и аутентификация транзакций для MitB.Я написал об этом статью в 2006 году: http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1 и я написал учебное пособие по взаимной аутентификации https: http: //www.howtoforge.com/prevent_phishing_with_mutual_authentication. Сертификаты EV представляют собой небольшую дополнительную ценность по многим из тех же причин, по которым стандартный ssl имеет небольшую ценность: никто не знает, как проверить сертификат, а пользовательскому интерфейсу нельзя доверять. Использование изображений не имеет ценности и действительно раздражает пользователей.
Хотя SMS лучше статических паролей, в этом случае вы полагаетесь на безопасность операторов сотовой связи. Однако, поскольку у них так много пользователей, а повышение безопасности их систем означает увеличение количества обращений в службу поддержки, стимулы не согласованы. Кроме того, просим ссылаться на последний сбой с адресами электронной почты iPad, где не соблюдались даже основные принципы безопасности.
Банкам необходимо серьезно относиться к проектированию систем и / или к использованию поставщиков, которые основывают свою архитектуру на надежных принципах безопасности и следуют стандартным методам шифрования, а не рыночной архитектуре с прицелом на соблюдение минимальных стандартов соответствия.