Un consiglio di sicurezza comune è quello di aprire siti solo da segnalibri (vedi anche Spiega alla persona esperta non di tecnologia come verificare che la tua connessione a mybank.com sia sicura? ). Questo approccio ha esito negativo se un sito richiede un token di verifica da un altro sito che richiede il login. (Sito A reindirizza l'utente al sito B con la richiesta di autorizzazione come parametro. Utente accede / autorizza la richiesta al sito B. L'utente viene reindirizzato al sito A con un token di verifica come parametro.) Un problema sorge se il sito A reindirizza l'utente a sito di phishing C che sembra simile al sito B e raccoglie le credenziali dell'utente.
Ovviamente l'utente potrebbe in teoria controllare se questo è il sito B e non C. Ma in pratica ci sono molti problemi:
- controllare ogni personaggio ogni volta è fastidioso e non verrà eseguito dopo alcune volte
- ci sono molti personaggi simili (omografi)
- siti di autorizzazione Gli URL sono talvolta diversi rispetto alla pagina principale ed è difficile ricordarli tutti per siti diversi (era my-bank.com / my-bаnk.com / mybank.com / my-bank.org / my-bank-auth.com / auth.my-bank.com?)
Quindi quale è un modo intuitivo per verificare se non stai inserendo le tue credenziali su un sito di phishing quando sei arrivato lì reindirizzato?