Phishing - очень серьезная проблема, с которой мы сталкиваемся. Тем не менее, банки - самые большие цели. Какие методы можно использовать банком для защиты себя от фишинговых атак? Какие методы следует использовать для защиты себя. Почему он останавливает атаки?Каков наилучший способ остановить фишинг для онлайн-банкинга?
Лучший способ предотвратить фишинг-атаки должен опираться на технические средства, которые не требуют от пользователя понимания проблемы. Целевая аудитория всегда будет достаточно большой, чтобы найти того, кого обманывают.
Хороший способ предотвращения атак является использование механизма аутентификации , которая не опирается на простой проход фразу или номер транзакции аутентификации (TAN), что злоумышленник может украсть.
Существующие методы, например. использовать динамические TAN (индексированные TAN или iTAN) или TAN, передаваемые по отдельному каналу через SMS (мобильный TAN или mTAN), или - наиболее безопасные и предотвращающие атаки в режиме реального времени в режиме «человек в центре» - требуют от пользователя подписывать каждую транзакцию, например используя DigiPass или смарт-карту.
Причина, по которой это не широко применяется, вероятно, является более эффективной с точки зрения затрат для банков в отношении ущерба от фишинговых атак, чем инвестиции в безопасность.
какой * TAN * подставка для? –
@Ben Voigt: Извините, я думал, что это общий акроним, но, вероятно, этот термин не используется в каждой стране. Я добавил ссылку для объяснения. –
Используйте сертификат EV EV, а затем разместите сообщение на своих страницах входа, в котором пользователям будет предложено найти подпись EV в своем браузере.
В письмах укажите, что ваш банк никогда не будет запрашивать у пользователя пароль. Настройте специальное электронное письмо, посвященное фишингу, чтобы клиенты могли отправлять вам подозрительные электронные письма, и вы можете затем уведомлять клиентов.
Это уже сделано. Пользователи обычно не замечают панель или _care_. –
Это общая проблема с пользователями. Им все равно. Они только начинают заботиться, когда дерьмо попадает в вентилятор, а потом это ваша вина. – LukeN
Я когда-то видел хорошее исследование, в котором они использовали знакомый значок замка как * favicon * на своем сайте, и это само по себе обманывало достаточно пользователей, считая его подлинным. – Joey
ИМО, лучшее, что может сделать банк, - это обучить своих пользователей тому, когда и как они будут общаться с ними. Многие пользователи не имеют представления о том, что такое фишинг, и поэтому показывая им примеры, и повышение их осведомленности о мошенничестве сделает больше, чем любое техническое решение (хотя техническая сторона должна преследоваться так же агрессивно). Пользователь, понимающий, что фишинг может произойти, гораздо реже станет жертвой.
К сожалению, более осведомленные пользователи сталкиваются с угрозами безопасности и тем фактом, что вы пытаетесь бороться с ними, БОЛЬШЕ, вероятно, они станут жертвами других социальных разработок, таких как электронная почта, в которой говорится: «Чтобы помочь сохранить ваш опыт онлайн-банкинга мы обеспечиваем всех наших клиентов дополнительной копией * любого * антивирусного пакета ». Установщик, конечно, не является подлинным инструментом безопасности, а кейлоггером. –
@Ben - Я не уверен. Я думаю, это зависит от того, как вы это делаете. Я бы сказал: мы отправим вам по электронной почте только по следующим причинам: A, B, C и т. Д. Любые другие электронные письма не от нас и к ним следует относиться с подозрением. Кроме того, здесь вы можете идентифицировать фишинговые письма: неправильный URL-адрес или адрес электронной почты, орфографические ошибки, плохая или слегка отлаженная графика, запросы на пароль, подозрительные запросы и т. Д. – VirtuosiMedia
Преподавание их в критически мысли поможет облегчить эту проблему, почему мой банк попросит меня установить антивирусное программное обеспечение? * – VirtuosiMedia
Фишинг обычно работает, направляя потребителя на скребковую версию веб-сайта. Один из наиболее распространенных методов - это динамический веб-сайт, где после ввода имени пользователя и перед вводом пароля на веб-сайте банка отображается какое-то изображение или фраза, выбранные потребителем, которые я буду называть counter-password. По сути, не только потребитель должен предоставить действительный пароль, так и банк. Взаимная аутентификация.
Сайт фишинга не может отображать правильный встречный пароль без запроса банка, и это дает банку возможность обнаруживать, смешивать и преследовать прокси-сервер.
Это может быть улучшено с использованием внеполосного канала связи. Если IP-адрес, делающий запрос (который был бы прокси-сервером, возможно, с помощью маршрутизации лука), не является тем, к которому потребитель вошел в систему раньше, отправьте потребителю SMS с одноразовым кодом, который они должны дополнительно использовать до того, пароль раскрывается и вход разрешен.
Другие методы предназначены для браузера кэшировать правильный сертификат сервера и сообщать потребителю, когда он посещает сайт без кэшированного сертификата, тем самым предупреждая потребителя, что это не тот знакомый сайт, который они использовали раньше.
Мне нравится идея того, что банк должен предоставить счетчик пароля. – ChrisF
Для примера см. Yahoo! почта. –
Я сомневаюсь, что это сработает. Вы говорите, что банк сможет обнаружить прокси. Такой прокси-сервер может использовать разные IP-адреса для каждого запроса, использовать бот-сеть или любую другую технологию, в которой он должен оставаться анонимным. Затем вы можете запустить атаку в реальном времени в середине атаки, избегая защиты от паролей. Конечно, это более продвинутый материал, чем просто кража паролей с поддельных сайтов. –
Самый простой способ смягчить его с банковской точки зрения было бы обучить клиентов при создании учетной записи, что (а) банк делает не есть адрес электронной почты клиента, поэтому он просто не отправить почту (b) отправлять письмо каждому существующему клиенту один раз, объясняя это.
Для клиента это имеет то преимущество, что они будут знать, что всякий раз, когда они получают почту, претендующую на получение своего банка, она не может быть реальной.
К сожалению, у банков есть адрес электронной почты клиента, поэтому они могут (и делать) отправлять вам законные электронные письма. – ChrisF
Мне, например, нравится онлайн-банкинг. Поэтому мой банк имеет мой адрес электронной почты и, как ожидается, будет его использовать. Был только один случай, когда я не мог сразу определить, является ли электронное письмо законным (один из «продолжать использовать вашу учетную запись, вам нужно войти в систему и заполнить эту форму», но кроме этого предупредительного знака это было идеально/правильное юридическое имя, хорошие URL-адреса и т. д.). Я закрыл свой браузер, назвав банк, используя номер, сохраненный на моем телефоне (а не тот, который указан в электронном письме), и после определения они действительно отправили это сообщение, передайте мою крайне отрицательную обратную связь. –
Мой банк делает * нет * имеет мой адрес электронной почты, и я намерен сохранить его таким образом. Онлайн-банкинг здесь не привязан к электронному адресу. Тем не менее, я был очень удивлен, когда другой банк при открытии счета * потребовал * узнать мой адрес электронной почты (они отправили в основном их спам, с моей точки зрения). Они все еще делали все важные вещи через уличную почту, поэтому адрес электронной почты, по-видимому, предназначался исключительно для рекламы, но все же был обязательным. – Joey
Я рекомендую проанализировать мошенничество в онлайн-банке на основе типов атак: украденные учетные данные, «Человек в середине» и «вредоносное ПО/человек в браузере», а также то, как проверка подлинности может помешать им: двухфакторная аутентификация для сеансов , взаимная аутентификация для предотвращения MITM и аутентификации транзакций для MitB. Я написал статью об этом в 2006 году: http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1, и я написал учебник doc по взаимной аутентификации https: http://www.howtoforge.com/prevent_phishing_with_mutual_authentication. Сертификаты EV являются немного дополнительным значением для многих из тех же причин, что стандарт ssl имеет мало значения: никто не знает, как проверить сертификат, и пользовательский интерфейс не может быть доверен. Использование изображений не ценится и вызывает очень раздражающий пользовательский интерфейс.
Хотя SMS лучше статических паролей, вы тогда полагаетесь на безопасность сотовых операторов. Однако, поскольку у них так много пользователей и повышение безопасности их систем означает больше вызовов службы поддержки, стимулы не выравниваются. Также, пожалуйста, обратитесь к последнему snafu с адресами электронной почты iPad, где даже основные принципы безопасности не соблюдались.
Банкам необходимо серьезно относиться к проектированию систем и/или использованию поставщиков, которые основывают свою архитектуру на надежных принципах безопасности, и следовать стандартным методам шифрования, а не маркетингу, с соблюдением стандартов соответствия стандартам.
Связано ли это с программированием? Я не совсем понимаю, как технология социальной инженерии может быть смягчена техническими методами и нетехническими, не попадет в сферу программирования. – Joey
@Johannes Rössel: Он связан с программированием, поскольку существуют контрмеры, которые могут быть реализованы в программном обеспечении (например, цифровые подписи). –
@MrXexxed: Все глупы; даже я. Кто-то получает доступ к доверенному ключу подписи root, он может сделать веб-сайт, который будет выглядеть точно так же, как ваш, - вплоть до того же URL-адреса и доверенного действительного SSL-сертификата. Все глупы; даже я. –