Spiega a una persona esperta di non tecnologia come verificare che la tua connessione a mybank.com sia sicura?

32

Stavo leggendo i consigli di sicurezza forniti dalla Associazione dei banchieri svedesi . Includevano questi due consigli (la mia traduzione), che presumo sia quello di insegnare all'utente a controllare SSL / TLS e proteggere da striscia SSL:

  • Check that it is the address of your bank in the address bar of your browser before you log on to your internet bank.
  • The web address on the log on page should start with https:// and a padlock symbol should be visible in the browser.

Questo è un argomento abbastanza importante, dal momento che alcune banche svedesi servono la loro pagina principale (dove il link alla banca internet è) su HTTP, e nessuno di loro ha implementato l'HSTS. Tuttavia, vedo una serie di problemi con il consiglio dato:

  1. Come faccio a verificare che sia l'indirizzo della mia banca? Un utente ordinario probabilmente passerebbe la scansione dell'URL per il nome della banca e si accontenterebbe quando lo troverà. Quindi, armato solo di questo consiglio, potresti facilmente cadere per mybank.com.evil.com/mybank.com . (Sfortunatamente l'URL per le pagine di accesso spesso non è molto pulito, quindi i clienti si aspetterebbero un URL disordinato.)
  2. "Quindi ricordo che c'era qualcosa con h e un paio di p o t o qualcosa che dovrei cercare. http:// ? Sì, probabilmente era così. Deve essere sicuro."
  3. Cerca il lucchetto nel browser ? Sul serio? Puoi semplicemente includerlo nella pagina, non hai nemmeno bisogno di usare il vecchio trucco di favicon per ingannare qualcuno che legge questo consiglio.

Naturalmente ho iniziato a pensare a quale sarebbe stato un buon consiglio concreto da dare a questo argomento, ma l'ho trovato sorprendentemente difficile. Il consiglio dovrebbe essere (A) breve, (B) facile da ricordare e capire anche per un utente con poca conoscenza tecnica, e (C) si applica a tutti i browser abbastanza moderni. Immagina di avere 30 secondi per spiegarlo a un parente esperto non molto tecnico.

Qualche suggerimento?

    
posta Anders 01.02.2016 - 11:16
fonte

7 risposte

29

Aggiornamento 09/2018:

Mentre in precedenza ho affermato che questa potrebbe essere una buona opzione, il mondo è cambiato e l'uso di EV non è più un indicatore particolarmente affidabile, anche in considerazione degli inconvenienti menzionati di seguito. Ci sono articoli come questo da Troy Hunt che spiegano il problema completo, ma, in Insomma, i browser non trattano più i certificati EV come qualcosa di particolarmente speciale e nascondono o riducono gli indicatori dello stato EV.

Prendendo il primo dei siti mostrati in precedenza, ad esempio, viene visualizzata la seguente schermata in, rispettivamente, Chrome 69, Edge, Firefox 62 e Internet Explorer 10. Safari su dispositivo mobile mostra un lucchetto verde e "Barclays PLC", Chrome on mobile mostra un lucchetto verde, "https" in verde, quindi il resto dell'URL in nero.

Inaltreparole,ancheseilsitoutilizzauncertificatoEV,nonc'èpiùunsingoloindicatorechepossaesserefacilmentecomunicatoaunapersonanontecnica.Erasempreinbaliadeibrowserenonèpiùtrattatocomequalcosadispeciale.

Quindi,qualèl'alternativa?Nonvieneinmentenulla:gliURLsottostantiprovengonodaunaseriedisottodominideisitibancari,ilcherendepiùdifficilelaricercadelnomedellabancaenonfunzionasualcunidispositivimobili,chenonmostranol'URLcompleto.Ilsimbolodellucchettoèfaciledaaggirare,dataladisponibilitàdicertificatiSSLgratuitiperidominichecontrolli.Ibrowserperlamaggiorparteattualmentemostrano"https: //", ma non "http: //" ora, ma facendo affidamento su ciò che rimane il caso ha la maggior parte degli stessi problemi che dipendono dalla barra degli indirizzi verde.

Questo lascia ogni volta l'indirizzo della banca nella barra degli indirizzi, ed è assolutamente certo che non abbia errori di battitura, che non è neanche un metodo affidabile. La ricerca non è affidabile: la maggior parte dei provider di ricerca è abbastanza brava a estirpare link falsi negli annunci in termini come "login online banking", ma richiede solo un collegamento mancante. I seguenti link dal sito principale della banca spostano il problema di verifica su un livello.

Suppongo che stia solo facendo attenzione: usa un singolo dispositivo per accedere al sito bancario, usando un segnalibro che è stato controllato attentamente durante la creazione e non consentire a nessun altro di accedere a quel dispositivo, quindi non possono essere modificato. Probabilmente ha senso per alcune persone, ma ho visto che è un carico troppo alto per l'utente medio, dove i dispositivi sono condivisi con i membri della famiglia o potrebbero essere accessibili dai colleghi.

Originale 02/2016:

Stavo per suggerire che assicurando che la schermata di login per il sistema bancario online mostrasse il nome della banca in verde, nella barra degli indirizzi potrebbe funzionare. Ma poi ho iniziato a chiedermi se una delle banche locali che conosco lo abbia fatto correttamente.

È meno incoraggiante di quanto avessi sperato. Per queste nove banche piuttosto grandi, 6 fornire il nome della banca nella barra di certificazione EV. 2 fornire il nome del gruppo genitore (che potrebbe non essere sempre evidente) e uno non ha nemmeno un certificato EV.

Il certificato EV è progettato per semplificare questo compito, se usato correttamente - non è possibile simularlo facilmente, ed è al di fuori dell'area della pagina, quindi non può essere inserito da un attore malintenzionato. Tuttavia, sembra che le banche non stiano facendo altrettanto bene ad usarlo ..

    
risposta data 01.02.2016 - 11:39
fonte
40

Perché gli indicatori di sicurezza falliscono rispetto al phishing

Non è possibile intraprendere azioni economicamente valide. In altre parole, è troppo difficile difendersi dagli attacchi di phishing. Vedi 'Così lungo e no grazie per le esternalità' per un esempio sull'economia degli Stati Uniti e lavoratori dell'informazione.

Hai ragione che il controllo della correttezza dell'URL è soggetto a errori e gli indicatori di sicurezza passivi HTTPS sono un grande scherzo. Passano inosservati, per anni sono stati privi di significato (cosa significa se la tastiera è blu o verde o grigia !?), e se fossero più prominenti / attivi, le persone si abituerebbero a vederli e gli attacchi potrebbero semplicemente comprare un certificato per un URL canaglia in modo che il nome si verifichi.

La soluzione a questo problema deve essere architettonica, piuttosto che basarsi sullo sprecare il tempo degli umani e su detti umani per non commettere errori. Perché i browser Web non dispongono di un repository centralizzato e affidabile da cui verificare gli URL delle banche e dei siti di pagamento / trasferimento affidabili, in modo da poter utilizzare indicatori di sicurezza esclusivi per tali siti?

Soluzione: fai in modo che gli utenti facciano affidamento su un'interazione sicura anziché far fronte alle limitazioni degli indicatori

Vorrei dire alla gente di andare sul sito web una volta, assicurati che l'URL sia corretto una volta (puoi aiutarli) e salvarlo nei preferiti. E usa esclusivamente il pulsante dei preferiti in modo che sappia che si trovano sul sito web giusto. Vorrei dire loro (senza dettagli) che non si sa mai dove atterrare quando si fa clic su un collegamento o si cerca un sito Web, ma il pulsante Preferiti ti porta sempre nel posto giusto. Come? Non importa.

In questa fase, gli utenti hanno la garanzia di atterrare sull'URL corretto. Se si verifica un attacco MITM attivo, otterrà l'avviso del certificato spaventoso, che normalmente non hanno per il proprio sito web bancario. L'assuefazione di avvertimento è una cosa molto reale, e mancano dati per determinare se gli utenti dovrebbero prestare attenzione ad esso nel contesto di un sito Web bancario precedentemente attendibile. Migliorare questo avviso (ad esempio renderlo più rischioso per i siti bancari) richiederebbe anche la conoscenza di ciò che è e non è il sito web di una banca.

    
risposta data 01.02.2016 - 11:26
fonte
3

"Sto chiedendo come spiegare a un utente ordinario come verificare che il browser stia utilizzando HTTPS e che tu sia nel sito giusto ..."

Sono d'accordo con quello che gli altri hanno detto qui sulla ricerca del blocco e della "s" in https e verificando che l'url dopo // sia corretto. Questo è ciò che ricordo ai miei clienti. Tutte le istituzioni finanziarie avranno queste cose come minimo

Altri approcci come il "nome verde" nei certificati EV sono utili ma non tutte le banche li usano perché sono molto più costosi e richiedono più documenti per implementare (per dimostrare chi sei) di un certificato SSL standard.

Due cose che aggiungerei alla discussione sono forse concentrarsi su come le persone arrivano al sito bancario.

Se ci arrivano tramite un segnalibro (ok se usi sempre lo stesso computer e browser), o tramite l'app mobile della banca, o digitando l'url (sperabilmente breve e digitato correttamente) della loro banca ogni volta, hanno meno probabilità di incontrare attacchi di phishing o MITM.

Tuttavia, se rispondono a un link in un'e-mail che dichiara di essere dalla banca (sempre dubbioso) o fuori dai risultati di un motore di ricerca, devono essere più cauti o evitare del tutto queste vie.

L'altra cosa che faccio con i miei clienti è di avvertirli delle conseguenze se diventano incuranti ... come scoprire le transazioni che non hanno fatto e / o i soldi sono andati via dal loro account, trasferiti in paesi dove il recupero potrebbe essere impossibile (come la Russia o la Cina). Fondamentalmente, un po 'di paura / paranoia può fare molto per mantenere la gente vigile e il loro account sicuro. Spero che questo aiuti!

    
risposta data 01.02.2016 - 21:20
fonte
2

Essenzialmente la tua domanda è di autenticazione. In questo caso, gli utenti che autenticano il sito web della banca sono in realtà la banca.

Penso che tu abbia ragione, e l'utente avrà difficoltà ad autenticare la banca attraverso l'URL (molte banche hanno più URL per esempio). Hai anche ragione nel ritenere che gli utenti non siano eccessivamente sofisticati in merito agli URL e non lo facciano (e non possano essere addestrati) per comprenderlo correttamente.

Un approccio che ho visto in alcune banche è che la banca mostra sempre un segreto condiviso prima che l'utente effettui l'autenticazione. Funziona in questo modo:

L'utente esegue una pre-autenticazione inserendo un nome utente e una risposta a una domanda di sicurezza.

Il sito Web visualizza un'immagine, una parola o entrambi che l'utente ha selezionato. Ciò garantisce che la banca è effettivamente la banca, poiché solo la banca conosce l'immagine o la frase che l'utente ha scelto.

L'utente inserisce quindi la password.

    
risposta data 01.02.2016 - 17:18
fonte
1

Mi piace fare affidamento sulla funzione di auto-riempimento del mio gestore di password per questo controllo.

La logica è che non sarò abbastanza intelligente per abbinare l'URL del sito nel browser a quello previsto, mentre lo farà un gestore di password.

Quindi quando vedo che ha inserito la voce per il sito - il sito è autentico, altrimenti dovrei iniziare a preoccuparmi.

Il gestore password deve ovviamente essere "buono", ma questo è un altro problema.

    
risposta data 05.02.2016 - 15:42
fonte
0

La risposta di Steve DM (controllo e bookmarking della pagina) è migliore da un punto di vista di sicurezza assoluto, ma un'altra opzione praticabile (e possibilmente più user friendly) è quella di dirlo a Google la banca ogni volta invece di fare clic su un link. / p>

In questo modo, ti affidi a Google per portarti nel posto giusto piuttosto che a un link ombreggiato e alle tue capacità di osservazione.

È facile e qualcosa che i tuoi amici fanno già regolarmente.

NOTA: Questo è ancora suscettibile agli attacchi MITM, ma impedirà attacchi di phishing di base. Dico solo a una persona esperta di non tecnologia di consultare sempre la propria banca (e altri siti sensibili) di Google e di non accedere a siti Web sensibili in luoghi pubblici.

    
risposta data 01.02.2016 - 17:49
fonte
-3

Sì. Utilizza un'app che si connette definitivamente al sito.

Or. Controlla l'https. Verifica l'url. Assicurati che l'url sia abbastanza corto da poter vedere visivamente eventuali manomissioni. Inoltre, forse alcuni esempi di attacchi omografici.

    
risposta data 01.02.2016 - 11:24
fonte

Leggi altre domande sui tag