Prevenire il phishing di pochi siti Web importanti

2

Supponiamo che $ S $ sia un insieme di siti Web conosciuti che sono molto importanti. Supponiamo che ci sia un'azienda di strumenti anti-phishing $ A $ che è a conoscenza di tali siti web. L'azienda può sviluppare in modo affidabile uno strumento anti-phishing solo per distinguere i siti Web di $ S $ dal suo complemento $ S '$? In altre parole, lo strumento anti-phishing è in grado di notificare ai propri utenti se il sito Web attualmente visitato è impostato a $ S $ o impostare $ S '$?

Penso che questo problema sia relativamente facile in quanto lo strumento anti-phishing deve distinguere tra set $ S $ di siti Web noti dal set di complementi $ S '$. Oppure è possibile che uno strumento anti-phishing possa essere ingannato?

Un'altra domanda correlata: Supponiamo che il numero di siti Web su Internet rimanga invariato nel tempo (statico) e la società di strumenti anti-phishing A conosca il set di siti Web legittimi $ S $ e siti Web illegittimi $ S '$. È possibile prevenire il phishing distinguendo il set $ S $ dal set $ S '$, ad esempio inserendo nella blacklist i siti in $ S' $ o consentendo la connessione solo ai siti in $ S $?

    
posta Curious 10.06.2015 - 09:01
fonte

4 risposte

2

Un sito web di phishing comune è estremamente simile al sito Web che sta tentando di impersonare, ma è ancora un sito Web diverso.

Si potrebbe sviluppare uno strumento che esamina tutti i siti Web visitati dagli utenti e li avvisa quando sono identici a uno dei siti Web è impostato $ S $.

Sfortunatamente c'è un problema con questo: un sito di phishing deve essere quasi identico. Confrontare i dati per l'uguaglianza esatta è banale per i programmi per computer, ma rilevare quasi l'uguaglianza è un problema molto più difficile. Lo strumento richiede un algoritmo euristico complesso per valutare la somiglianza tra due siti Web. Tali algoritmi potrebbero essere giocati: sarebbe facile per il phisher apportare modifiche sottili che sono invisibili per l'utente ma fa sì che il programma lo scambiasse per un sito Web non correlato.

C'è, tuttavia, anche l'approccio opposto che è molto più semplice: avvisare l'utente quando il sito Web che visitano è legittimo e non fare nulla su siti Web illegittimi. Questo è già incorporato nella maggior parte dei browser Web moderni sotto forma di icone di notifica dei certificati nella barra di navigazione. Questo meccanismo richiede l'utilizzo di https, pertanto non funzionerà quando si utilizza regolarmente la versione http di detti siti Web. La formazione degli utenti per inserire le credenziali di accesso solo quando vedono l'icona di blocco verde con il nome del sito web nella barra degli indirizzi (certificato esteso) è molto ragionevole.

Il plug-in del browser HTTPS Everywhere di Electronic Frontier Foundation reindirizza automaticamente l'utente alla versione https di molti popolari siti web. È altamente raccomandabile per gli utenti Internet attenti alla sicurezza (e ancor più raccomandabile per quelli che non lo sono).

    
risposta data 10.06.2015 - 09:58
fonte
0

Come menzionato da curious_cat nei commenti, le connessioni https dovrebbero essere d'aiuto in quanto l'identità del sito web viene quindi convalidata.

Esistono diversi strumenti lato client che tentano di identificare il contenuto del sito Web utilizzando un plug-in del browser: Phishtank, Web of Trust, Avast!

Anche i browser Web più diffusi dispongono di un meccanismo per provare a identificare i siti Web di phishing, tuttavia sono inaffidabili e considerati un approccio best-effort.

In alternativa, se questo è un browser personalizzato o una configurazione speciale, potresti essere interessato a un approccio api come isitphishing.org o cryptophoto.com

    
risposta data 10.06.2015 - 10:04
fonte
0

Non sono sicuro della risposta alla tua domanda reale, ad esempio se è possibile che uno strumento distingua tra www.google.com e www.gooogle.com e avvisi l'utente di un tentativo di phishing.

La migliore protezione sarebbe un gestore di password basato sul browser .

Questo offrirà solo le credenziali di accesso per i siti corrispondenti. Pertanto, se l'utente accede a www.google.com , le credenziali di Google vengono offerte dal plug-in per il completamento del modulo di accesso.

Se l'utente va a www.gooogle.com le credenziali non saranno offerte in quanto il dominio non corrisponde.

    
risposta data 10.06.2015 - 12:41
fonte
0

Uso uno strumento da un venditore che fa esattamente questo. È fondamentalmente un insieme di regex applicato al testo del nome di dominio per permutarne le variazioni.

Può essere ingannato? Ovviamente. Se si utilizza solo la manipolazione delle stringhe, è possibile individuare i modelli di manipolazione e definire i nomi di dominio che soddisfano i criteri di attacco.

Il problema per i phisher qui è quello di creare un nome di dominio con un'adeguata somiglianza al dominio di destinazione tale da far ingannare abbastanza utenti, mentre il nome del dominio è abbastanza diverso dalle tecniche di analisi delle stringhe delle difese. Qualsiasi difesa tecnica non sarà mai efficace al 100% perché la tecnologia (o il progettista) deve essere in grado di prevedere la debolezza psicologica degli utenti. I problemi tecnologici sono facili da risolvere con la tecnologia. I problemi di psicologia sono difficili da risolvere con la tecnologia.

Ad esempio, lo strumento che utilizzo non ispeziona il percorso nell'URL. Pertanto, un URL del tipo log.in.co/m/kjfbkbwbfekjb/example.com non verrebbe rilevato come potenziale parodia di example.com , mentre potrebbe essere interpretato come una pagina di accesso da un utente non abile. Questa è una debolezza dello strumento, ma non necessariamente un fallimento dello strumento. Immagina servizi validi che fanno riferimento al tuo dominio utilizzando il nome di dominio nell'URL (i servizi di gestione della posta elettronica, i siti di sondaggi, ecc. Possono farlo). Bloccando il dominio nel percorso, si impedisce il corretto funzionamento di questi servizi validi.

Come sempre, esiste un equilibrio tra usabilità e sicurezza e talvolta tale equilibrio è unico per ogni persona / organizzazione. Aggiungete a ciò l'interazione di tecnologia / psicologia che ho menzionato sopra e scoprite che, sì, è possibile proteggere efficacemente contro gli attacchi che menzionate, ma potrebbe esserci un costo inaccettabile nell'usabilità.

    
risposta data 10.06.2015 - 17:38
fonte

Leggi altre domande sui tag