Sito Web Phish Proof. Possibile? [chiuso]

0

Vedendo come grandi nomi come Gmail, Yahoo! (nonostante il sigillo di accesso) e Hotmail (Live Mail) sono soggetti a attacchi di phishing, ciò solleva la questione se sia possibile (in teoria) salvaguardare un modulo di accesso al sito web da frodi di phishing?

Ora prima di rispondere alla domanda se sia possibile (teoricamente) a prova di phishing un sito Web, capisco che dobbiamo stabilire alcuni fattori.

  1. Qual è il metodo generale utilizzato per creare una pagina di accesso phish? È possibile contrastare questo metodo di creazione di pagine phishing generalizzato ? Cioè, se un programmatore è in grado di sconfiggere il "generalizzato" metodo di creazione del phish, può aspettarsi di fare un grande cambiamento nel settore della sicurezza?

  2. Qual è la comprensione tecnica e di programmazione della maggioranza dei phish-hacker? Se non è possibile proteggere completamente il sistema di login di un sito Web, è possibile escludere dall'80-90% i phish-maker dal gioco rendendo la creazione di pagine di phish un processo complesso e difficile?

  3. Qual è la teoria dietro alcuni dei meccanismi di prova dei phish in pratica oggi (Yahoo login seal etc)? Questi metodi sono efficaci? Se i metodi sono praticamente inefficaci, è possibile migliorare l'efficienza di questi metodi attenendosi alla stessa teoria / idea? O è proprio l'approccio che è irregolare?

So che gli esperti avrebbero opinioni diverse su questi argomenti, ma spero di riuscire almeno a trovare alcuni punti di consenso su questi temi.

    
posta Youstay Igo 10.11.2015 - 14:44
fonte

4 risposte

5

Probabilmente no .

Un attacco di phishing non si basa sull'utilizzo del contenuto della pagina di accesso effettiva, si basa solo sull'utente che tratta la pagina di phishing come se fosse la pagina di accesso. Anche se, come suggerito nei commenti, chiudi completamente i tuoi server, ciò non significa che i tuoi utenti non risponderebbero a un messaggio di phishing fingendo di essere te stesso.

Per elaborare, non importa quanto siano sofisticati e avanzati i tuoi algoritmi di sicurezza di base. Se non posso usare la tua pagina così com'è, posso solo (nel peggiore dei casi) prendere uno screenshot e rilasciarne alcuni moduli, e questo sarà abbastanza buono per una buona porzione dei miei obiettivi.

Se non riesci a rendere la pagina a prova di phishing, puoi provare a aiutare i tuoi utenti a rispondere meglio ai tentativi di phishing istruendoli a riconoscere il tuo sito legittimo e ad avere una parte di quel sito questo è unico per loro. Ad esempio, le banche hanno spesso un'immagine personale che ti mostrano durante la procedura di accesso. È improbabile che una pagina di phishing sia in grado di riprodurre accuratamente queste sezioni univoche e rimuoverà invece il segmento o sostituirà un'immagine generica. Se l'utente è vigile, noterà questo e abortirà prima di inviare le proprie informazioni.

Tuttavia, come commenta Adam Shostack, ci sono prove che gli utenti della formazione non sono affidabili e hanno un basso profitto. Inoltre, una pagina di phishing avanzata potrebbe fornire informazioni al sito reale e riportare indietro le parti univoche man mano che procedi.

    
risposta data 10.11.2015 - 17:24
fonte
3

No. non puoi rendere non riconoscibile un sito web.

Il phishing è un attacco alla comprensione umana, non sul tuo sito web. Aggiungendo immagini, SSL EV, tutte queste cose falliscono perché le persone non prestano loro attenzione.

Nel suo libro "Thinking Fast and Slow" Kahneman parla di "WYSIATI" (ciò che vedi è tutto lì) "come un problema nella percezione umana, che va ben oltre la sicurezza.

    
risposta data 10.11.2015 - 21:47
fonte
0

Penso che per questo motivo utilizzare i certificati SSL Extended Validation sia un'idea saggia. Anche con HTTP Strict Transport Security (HSTS) abilitato nei browser, possiamo fornire un po 'di sicurezza. Consulta il link . Gli utenti se sono indirizzati al sito originale con certificati SSL falsi, verranno interrotti dal browser. Se si tratta di un sito Web fasullo, gli utenti devono essere abbastanza vigili da controllare il lucchetto nella barra degli indirizzi. Ci sono alcuni plugin (ad esempio CertPatrol, ecc.) In Firefox che tengono traccia delle visite e dei certificati e li memorizzano localmente e avvisano in caso di cambiamento.

Ho trovato questi URL Shorteners una minaccia che non ti dà un'idea prima che si espandano nell'URL effettivo. Anche guardare le intestazioni delle e-mail può dare un qualche vantaggio sulle e-mail di phishing.

Recentemente mi sono imbattuto in alcune affermazioni sui Web Application Firewall che impediscono a qualcuno di eseguire il scraping del sito. Educare gli utenti e sensibilizzare sul phishing è comunque il modo più efficace, data la rapida evoluzione della metodologia di attacco dell'ingegneria sociale.

    
risposta data 10.11.2015 - 17:56
fonte
0

Rendi il phishing non utile

L'unico modo ragionevole per proteggersi dalle minacce di phishing è presumere che un determinato utente malintenzionato sarà in grado di ottenere il set iniziale di credenziali da parte di alcuni utenti tramite il phishing e assicurarsi che questo sia non abbastanza da fornire un beneficio utile all'attaccante. Se elimini gli incentivi per gli attaccanti, non solo attenuerai i tuoi danni in caso di attacco riuscito, ma ridurrai anche notevolmente la possibilità di tali attacchi, dato che gli attaccanti seri in genere scelgono altri bersagli.

Un esempio comune utilizzato nel settore bancario è un uso attento dei token di autenticazione con due fattori. Se un utente fornisce le credenziali e il codice dal token a un sito di phishing, allora può essere sufficiente effettuare il login una volta immediatamente, ma non abbastanza da riprendere in seguito l'account o, ad esempio, approvare una transazione, che richiederebbe ottenere un codice aggiuntivo dall'utente reale in quel momento.

Funzionalità simili possono essere ottenute anche con fogli di carta pre-inviati a bassa tecnologia con codici di risposta alla sfida monouso.

In questo caso un attacco di successo deve eseguire un attacco MITM in tempo reale, richiedendo (e ottenendo) il codice appropriato dall'utente nello stesso momento mentre il sistema sta eseguendo una transazione nel sito web reale. Ciò solleva la competenza richiesta e scoraggia alcuni aggressori, rendendoli anche più facili da rilevare poiché, a differenza del normale phishing, lo sfruttamento effettivo deve avvenire mentre la campagna di phishing è in esecuzione invece di consentire all'utente malintenzionato di raccogliere una grande quantità di credenziali in silenzio.

    
risposta data 10.11.2015 - 22:23
fonte

Leggi altre domande sui tag