Prevenire il phishing di pochi siti Web importanti

Un sito web di phishing comune è estremamente simile al sito Web che sta tentando di impersonare, ma è ancora un sito Web diverso.

Si potrebbe sviluppare uno strumento che esamina tutti i siti Web visitati dagli utenti e li avvisa quando sono identici a uno dei siti Web è impostato $ S $.

Sfortunatamente c'è un problema con questo: un sito di phishing deve essere quasi identico. Confrontare i dati per l'uguaglianza esatta è banale per i programmi per computer, ma rilevare quasi l'uguaglianza è un problema molto più difficile. Lo strumento richiede un algoritmo euristico complesso per valutare la somiglianza tra due siti Web. Tali algoritmi potrebbero essere giocati: sarebbe facile per il phisher apportare modifiche sottili che sono invisibili per l'utente ma fa sì che il programma lo scambiasse per un sito Web non correlato.

C'è, tuttavia, anche l'approccio opposto che è molto più semplice: avvisare l'utente quando il sito Web che visitano è legittimo e non fare nulla su siti Web illegittimi. Questo è già incorporato nella maggior parte dei browser Web moderni sotto forma di icone di notifica dei certificati nella barra di navigazione. Questo meccanismo richiede l'utilizzo di https, pertanto non funzionerà quando si utilizza regolarmente la versione http di detti siti Web. La formazione degli utenti per inserire le credenziali di accesso solo quando vedono l'icona di blocco verde con il nome del sito web nella barra degli indirizzi (certificato esteso) è molto ragionevole.

Il plug-in del browser HTTPS Everywhere di Electronic Frontier Foundation reindirizza automaticamente l'utente alla versione https di molti popolari siti web. È altamente raccomandabile per gli utenti Internet attenti alla sicurezza (e ancor più raccomandabile per quelli che non lo sono).

Come menzionato da curious_cat nei commenti, le connessioni https dovrebbero essere d'aiuto in quanto l'identità del sito web viene quindi convalidata.

Esistono diversi strumenti lato client che tentano di identificare il contenuto del sito Web utilizzando un plug-in del browser: Phishtank, Web of Trust, Avast!

Anche i browser Web più diffusi dispongono di un meccanismo per provare a identificare i siti Web di phishing, tuttavia sono inaffidabili e considerati un approccio best-effort.

In alternativa, se questo è un browser personalizzato o una configurazione speciale, potresti essere interessato a un approccio api come isitphishing.org o cryptophoto.com

Non sono sicuro della risposta alla tua domanda reale, ad esempio se è possibile che uno strumento distingua tra www.google.com e www.gooogle.com e avvisi l'utente di un tentativo di phishing.

La migliore protezione sarebbe un gestore di password basato sul browser .

Questo offrirà solo le credenziali di accesso per i siti corrispondenti. Pertanto, se l'utente accede a www.google.com , le credenziali di Google vengono offerte dal plug-in per il completamento del modulo di accesso.

Se l'utente va a www.gooogle.com le credenziali non saranno offerte in quanto il dominio non corrisponde.

Uso uno strumento da un venditore che fa esattamente questo. È fondamentalmente un insieme di regex applicato al testo del nome di dominio per permutarne le variazioni.

Può essere ingannato? Ovviamente. Se si utilizza solo la manipolazione delle stringhe, è possibile individuare i modelli di manipolazione e definire i nomi di dominio che soddisfano i criteri di attacco.

Il problema per i phisher qui è quello di creare un nome di dominio con un'adeguata somiglianza al dominio di destinazione tale da far ingannare abbastanza utenti, mentre il nome del dominio è abbastanza diverso dalle tecniche di analisi delle stringhe delle difese. Qualsiasi difesa tecnica non sarà mai efficace al 100% perché la tecnologia (o il progettista) deve essere in grado di prevedere la debolezza psicologica degli utenti. I problemi tecnologici sono facili da risolvere con la tecnologia. I problemi di psicologia sono difficili da risolvere con la tecnologia.

Ad esempio, lo strumento che utilizzo non ispeziona il percorso nell'URL. Pertanto, un URL del tipo log.in.co/m/kjfbkbwbfekjb/example.com non verrebbe rilevato come potenziale parodia di example.com , mentre potrebbe essere interpretato come una pagina di accesso da un utente non abile. Questa è una debolezza dello strumento, ma non necessariamente un fallimento dello strumento. Immagina servizi validi che fanno riferimento al tuo dominio utilizzando il nome di dominio nell'URL (i servizi di gestione della posta elettronica, i siti di sondaggi, ecc. Possono farlo). Bloccando il dominio nel percorso, si impedisce il corretto funzionamento di questi servizi validi.

Come sempre, esiste un equilibrio tra usabilità e sicurezza e talvolta tale equilibrio è unico per ogni persona / organizzazione. Aggiungete a ciò l'interazione di tecnologia / psicologia che ho menzionato sopra e scoprite che, sì, è possibile proteggere efficacemente contro gli attacchi che menzionate, ma potrebbe esserci un costo inaccettabile nell'usabilità.