Quali sono i modi efficaci per prevenire il phishing mirato?

Suppongo che la banca voglia proteggere i propri clienti dal phishing. (Non i suoi impiegati, questo è un problema diverso, e se vuoi saperlo, dovresti chiederlo separatamente in una domanda diversa.)

La banca dovrebbe prendere diversi passaggi:

• Evita di inviare via email i link al sito. Vai a inglobare il team di marketing e convincili a smettere di farlo.

• Non fare troppo affidamento sulle password. Usa anche l'autenticazione della macchina. Ad esempio, è possibile utilizzare un cookie permanente persistente, un cookie Flash o una sorta di impronta digitale del browser e della macchina dell'utente. Le password sono intrinsecamente insicuri contro il phishing. Il vantaggio della registrazione della macchina è che autentica il browser dell'utente con un segreto che l'utente non conosce. Se l'utente non conosce il segreto, l'utente non può essere indotto a rivelarlo. Con la combinazione di autenticazione macchina e password, l'autenticazione della macchina esegue la maggior parte del lavoro di autenticazione e la password consente solo di distinguere tra l'utente e il suo compagno di stanza / coniuge / figlio / ecc.

  • Non fare affidamento sulle domande di verifica per autenticare l'utente quando l'utente accede da un nuovo computer. Gli studi hanno dimostrato che i siti di phishing possono catturare le risposte per sfidare le domande, proprio come fanno le password. Prendi in considerazione altri metodi di registrazione di una nuova macchina, ad esempio l'autenticazione basata su e-mail.

• Utilizza i metodi di rilevamento delle frodi di back-end per rilevare l'uso dannoso di una password rubata. È possibile verificare se si tratta di un tipo di transazione che l'utente ha eseguito in precedenza, a un beneficiario con cui ha già eseguito transazioni precedenti, se l'importo è elevato o meno, se l'indirizzo IP dell'utente e la posizione geografica e il fingerprinting del browser sembrano quelli che hanno stato visto prima, e molte altre misure statistiche.

• Partecipa ai gruppi di lavoro anti-phishing. Lavora rapidamente per rimuovere i siti di phishing. Supporta l'uso di blacklist di phishing nel browser degli utenti. Se un utente accede con un browser così vecchio da non supportare una lista nera di phishing, invia all'utente un messaggio che li incoraggia ad aggiornare il browser e fornisce loro un link semplice per farlo.

  • Partecipa a gruppi di lavoro antifrode e fai pressione sulla comunità bancaria per chiudere le banche globali che facilitano il crimine online. Un studio recente ha rilevato che solo 3 banche hanno rappresentato la monetizzazione del 95% dello spam; se quelle 3 banche fossero state chiuse o bloccate dagli spammer, potremmo assistere a un enorme calo dello spam. C'è ragione di credere che un fenomeno simile possa valere anche per altri elementi dell'economia sommersa. Rendere il cybercrime meno redditizio porterà benefici alla sicurezza bancaria su tutti i fronti (non solo nel phishing), quindi è un punto di vista promettente.

• Usa SSL a livello di sito per l'intero sito e tutta la tua presenza online. Acquista un certificato EV. Ciò fornisce agli utenti un segnale aggiuntivo (il bagliore verde) che può aiutare alcuni utenti avvisano quando sono sotto attacco.

• Abilita la sicurezza del trasporto rigorosa (HSTS). Questo indica ai browser di connettersi solo a te tramite HTTPS. Paypal lo usa. Dovresti anche tu. È supportato nelle versioni recenti di Firefox e Chrome.

• Non mettere icone lucchetto sulle tue pagine (ad esempio, posizionato accanto ai moduli di accesso), o altrimenti rovinare elementi cromati nel contenuto della tua pagina. Quando lo fai, istruisci gli utenti in un modo che faciliti gli attacchi di phishing.

• Firma digitalmente tutta l'email inviata ai clienti. Vi sono alcuni motivi per ritenere che la maggior parte dei clienti disponga di un software che può controllare queste firme e le firme non causeranno problemi al software che non controlla la firma. (Grazie a @AviD per questo suggerimento.)

• Non utilizzare SSN per l'autenticazione ovunque nella tua azienda. Rendi meno prezioso per i phisher rubare SSN e altre informazioni personali.

Questo è quello che farei:

• avere un team di addetti alla sicurezza per garantire che tutto il software sia aggiornato / aggiornato e configurato correttamente (la dimensione di questo team dipende dalle dimensioni dell'organizzazione)
• non consentire a nessun dipendente l'accesso a qualcosa di remoto pericoloso a meno che non ne abbia bisogno
• per quei dipendenti che hanno bisogno di accesso, pensa esattamente a ciò di cui hanno bisogno (ad esempio: in una banca, non consentire a un dipendente di basso livello di effettuare transazioni che comportano ingenti somme di denaro)
• non dare a nessuno l'accesso tecnologicamente sfidato. Spara o addestra i dipendenti esistenti se devi
• se una persona importante come il tuo CEO / dirigente è sfidata, non dargli accesso alla rete - fai in modo che tutte le sue azioni passino attraverso qualcuno che comprenda la sicurezza di base
• mantieni buoni registri di ogni evento importante sulla rete, sarà utile quando tenterai di minimizzare i danni dopo che si è verificato un attacco di successo

Riguardo alla formazione dei dipendenti in merito alla sicurezza, basta chiedere loro di leggere white paper non è sufficiente. Devi davvero insegnare loro le basi su come un hacker ottiene l'accesso a una rete, e se non lo fanno o non sono in grado di impararlo, allora dovresti licenziarli o portare via il loro accesso a tutto ciò che ha bisogno di sicurezza.

La soluzione al phishing è la più basilare: usa una strong autenticazione reciproca. Le password in chiaro su SSL unilateralmente autenticato non forniscono questo. Essenzialmente, il phishing stacca i due passaggi di autenticazione, interrompendo così l'autenticazione reciproca.

Un semplice miglioramento può essere l'autenticazione basata su password sicura usando i protocolli PAKE, come SRP.

Un altro miglioramento che affronta anche la maggior parte degli attacchi basati sull'ingegneria sociale consiste nell'utilizzare l'autenticazione a più fattori: puoi chiamare qualcuno e convincerli a dare loro il segreto, ma prova a dire loro di inviare anche il loro token USB. Questo è molto più difficile, non si adatta bene ed è più rischioso a causa dell'interazione fisica con la vittima. È anche più difficile per l'ingegneria sociale dal momento che non è una semplice azione spontanea per la vittima e si sente molto sbagliato rimuovere quel token dalla catena di chiavi e inviarlo da qualche parte.

Ciò che rimane è che le persone cercano di rubare dati personali e informazioni sulla carta di credito. Ciò che è necessario qui sono i veri e propri identificatori di identità sul lato client ("Questo sito è bank.com"), sistemi di pagamento sicuri e, soprattutto, buon senso.

Quindi, perché nessuno lo sta facendo? Le persone dicono che il costo e l'usabilità sono il problema. Ma la maggior parte delle istituzioni finanziarie ha notato che è necessario disporre di più fattori, sebbene tendano a implementare soluzioni incompatibili e spesso vulnerabili. Il pubblico del Web ha finalmente notato che le password non si adattano molto bene, quindi ora abbiamo i gestori delle password e l'ID federale. Il primo ha restrizioni piuttosto simili come soluzioni basate su smart card e il secondo è ancora vulnerabile. Il problema è che alla gente non piace PKI. È troppo complesso, troppo poco familiare, anche se IE e Firefox hanno già un buon supporto. Abbiamo bisogno di sistemi come Skype e Jabber, in cui la PKI viene automaticamente inserita in background e l'autorizzazione viene fondamentalmente eseguita con la gestione della continuità delle chiavi. E sostituisci X509 con SPKI, per ridurre i bug procedurali e di implementazione.

In realtà, la migliore difesa è la formazione alla consapevolezza - ha qualche effetto ma non è affatto infallibile. I due grandi problemi sono:

1 - Gli utenti finali dimenticano il loro insegnamento e continuano a fare clic sui collegamenti

2 - alcune banche hanno ancora team di marketing che inviano email con collegamenti

Le più grandi banche globali sono state molto brave nei takedown dei siti di phishing, quindi almeno questo costringe gli aggressori a impiegare molto più impegno per ottenere attacchi di phishing.

Dai un'occhiata a questa precedente domanda sul phishing per ulteriori informazioni.

update Il phishing mirato, o la pesca subacquea, è una tattica di grande successo per gli aggressori, poiché personalizzano le e-mail a un livello tale che la maggior parte delle persone ritiene che provengano da una fonte attendibile. Attualmente lo sforzo richiesto significa che sono ancora gli obiettivi di valore più alto che vengono attaccati, tuttavia attacchi come il recente attacco di PSN hanno fornito agli attaccanti informazioni utili per effettuare questo attacco su larga scala.

Non credo che l'allenamento per la consapevolezza funzioni.

Il modo migliore per combattere il phishing è inserire nella whitelist indirizzi email e contenuti / comportamenti di applicazioni Web accessibili agli utenti.

Ci sono molti modi per fermare il phishing che usa malware. Che tipo di attacchi di phishing ti interessano e forse posso fornire qualche consiglio in più?

Oltre ai suggerimenti forniti, suggerirei anche di ottenere aiuto dai provider MSS. Esistono pochi provider MSS che forniscono un servizio in abbonamento che aiuta l'organizzazione a rilevare il phishing e l'abuso di marchi online.

Un occhio in più sarebbe sicuramente utile in casi come questi.