In che modo Stripe Checkout previene gli attacchi di phishing?

1

Il sovrapposizione di Stripe Checkout ( link ) viene visualizzato all'interno di un sito e non mostra l'URL associato. Un sito Web dannoso potrebbe creare il proprio overlay simile a quello di Stripe e indurre gli utenti a pensare di fornire le informazioni della loro carta di credito a Stripe.com

È possibile che Stripe stia facendo qualcosa per impedirlo? O non è abbastanza preoccupante per loro?

    
posta Shailesh Tainwala 09.11.2015 - 18:32
fonte

2 risposte

1

La sovrapposizione di Stripe's Checkout non aiuta a prevenire il phishing, ma l'alternativa preferita (iframe) non lo è, quindi è un lavaggio in termini di sicurezza del phishing.

PCI DSS enfatizza i passaggi necessari per proteggere il server che fornisce la pagina complessiva al cliente, che a sua volta dovrebbe contribuire a garantire la validità dei collegamenti (iframe, javascript,). Se il server web del commerciante viene espulso, tutti possono essere reindirizzati a una terza parte malevola, quindi impedire che sia l'obiettivo.

Le cose tendono a funzionare in questo modo:

  1. L'immissione dei dati delle carte in outsourcing nel processore riduce l'ambito del commerciante e migliora la sicurezza complessiva
  2. I commercianti preferiscono che il checkout sia senza soluzione di continuità; il cliente non dovrebbe essere al corrente del numero 1 a meno che non lo voglia sapere.
  3. iframe e javascript possono essere senza soluzione di continuità, ma per lo stesso motivo rimuovono gli indicatori di phishing dal processo.

Alla fine, # 1 e # 2 superano i negativi del # 3 data la mancanza di preoccupazione anti-phishing PCI DSS.

    
risposta data 09.11.2015 - 19:33
fonte
0

Quello che devi capire è che se l'attore malintenzionato possiede il sito Web, può rendere il sito Web visualizzato come meglio ritengono, incluso un "URL di origine" se Stripe ha deciso di includerne uno. Allo stesso modo, potrei creare un sito web che assomigli esattamente a google.com e inoltrare tutte le richieste di ricerca a Google in modo che potessi:

a) Termini di ricerca degli utenti Harvest, insieme ai loro indirizzi IP, alle impronte digitali del browser, ecc. e
b) Produce una vera pagina di ricerca su Google, quindi gli utenti pensano che nulla sia sbagliato

In entrambi i casi, Stripe e Google non sono in grado di impedirmi di creare un server Web che controllo esattamente come i loro prodotti, oltre a possibilmente archiviare richieste di violazione DMCA con il mio provider di hosting, anche se dubito che un criminale stia davvero andando prendersi cura, e passerà ad un altro fornitore di hosting se ciò accadesse.

Quindi per rispondere alle tue domande:

Is it possible that Stripe is doing something to prevent this?

Probabilmente no, anche se qualcuno di Stripe sarebbe l'unico in grado di rispondere con certezza.

Or is it just not enough of a concern for them?

Sono sicuro che ne siano preoccupati, ma c'è poco che potrebbero essere in grado di mettere da parte le affermazioni sul copyright / marchio citato che potrebbero fare contro un sito malevolo usando i loro loghi di marca.

    
risposta data 09.11.2015 - 23:15
fonte

Leggi altre domande sui tag