6

フィッシングは、私たちが直面している非常に深刻な問題です。しかし、銀行が最大の標的です。フィッシング攻撃から身を守るために、銀行はどのような方法を使用できますか? 身を守るためにどのような方法を使用する必要がありますか。なぜ攻撃を止めるのですか?

4

6 に答える 6

8

フィッシングは通常、消費者をWebサイトのスクレイプバージョンに誘導することで機能します。より一般的になり始めている1つの方法は、動的なWebサイトです。この場合、ユーザー名の入力後、パスワードの入力前に、銀行のサイトで消費者が選択した画像またはフレーズが表示されます。これをカウンターパスワードと呼びます。本質的に、消費者は有効なパスワードを提示する必要があるだけでなく、銀行も同様です。相互認証。

フィッシングサイトは、銀行に問い合わせないと正しいカウンターパスワードを表示できません。これにより、銀行はプロキシを検出、混乱、および起訴する機会が得られます。

これは、帯域外通信チャネルを使用して強化できます。リクエストを行うIPアドレス(おそらくオニオンルーティングを介したプロキシ)が以前からログインしたものではない場合は、カウンターの前に追加で使用する必要のあるワンタイムコードを含むSMSをコンシューマーに送信します。パスワードが表示され、ログインが有効になります。

他の方法は、ブラウザが正しいサーバー証明書をキャッシュし、キャッシュされた証明書のないサイトにアクセスしたときに消費者に通知することです。これにより、これは以前に使用した使い慣れたサイトではないことを消費者に警告します。

于 2010-06-20T20:56:42.187 に答える
3

IMO、銀行ができる最善のことは、銀行がいつどのように彼らと通信するかについてユーザーを教育することです。多くのユーザーはフィッシングとは何かを知らないため、例を示して詐欺についての意識を高めることは、どの技術的解決策よりも効果的です(ただし、技術的側面も同様に積極的に追求する必要があります)。フィッシングが発生する可能性があることを認識しているユーザーは、フィッシングの餌食になる可能性がはるかに低くなります。

于 2010-06-20T20:56:39.117 に答える
2

EV SSL 証明書を使用し、ログイン ページにメッセージを表示して、ブラウザで EV 署名を探すようにユーザーに伝えます。

銀行がユーザーにパスワードを要求することは決してないことをメールで明確にします。フィッシング専用の特別なメールを設定して、顧客が疑わしいメールを送信できるようにし、顧客に通知できるようにします。

于 2010-06-20T20:53:50.600 に答える
1

フィッシング攻撃を防止する最善の方法は、ユーザーが問題を理解する必要のない技術的な手段に頼る必要があります。ターゲットオーディエンスは常に、だまされる人を見つけるのに十分な数になります.

攻撃を防ぐ良い方法は、攻撃者が盗むことができる単純なパス フレーズやトランザクション認証番号 ( TAN ) に依存しない認証メカニズムを使用することです。

既存の方法、たとえば、動的 TAN (インデックス付き TAN またはiTAN )、または SMS を介して別のチャネルで送信された TAN (モバイル TAN またはmTAN ) を使用するか、または - 最も安全であり、リアルタイムの中間者攻撃も防ぎます -たとえば、 DigiPassやスマートカードを使用して、ユーザーが各トランザクションに署名する必要があります。

これが広く実装されていない理由は、セキュリティに投資するよりも、銀行がフィッシング攻撃による損害を支払う方が費用対効果が高いためと考えられます。

于 2010-06-20T21:14:40.840 に答える
1

銀行の観点からこれを軽減する最も簡単な方法は、口座の作成時に、(a) 銀行は顧客の電子メール アドレスを持っていないため、単にメールを送信できないこと、(b) メールを送信できないことを顧客に教育することです。同じことを説明するすべての既存の顧客への手紙。

顧客にとって、これは、自分の銀行から来たと主張するメールを受け取るたびに、それが本物ではないことを知ることができるという利点があります.

于 2010-06-20T21:14:56.987 に答える
1

攻撃の種類に基づいてオンライン バンキング詐欺を分析することをお勧めします: 盗まれた認証情報、中間者攻撃、マルウェア/マン イン ザ ブラウザー、および認証がそれらをどのように阻止できるか: セッションの 2 要素認証、相互認証MitB の MITM およびトランザクション認証を防止します。私は 2006 年にこれに関する記事を書きました: http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1そして相互 https 認証に関するドキュメント チュートリアルを書きました: http://www.howtoforge.com/prevent_phishing_with_mutual_authentication . EV 証明書は、標準の SSL がほとんど価値がないのと同じ多くの理由で、付加価値がほとんどありません。証明書を検証する方法を誰も知らず、UI を信頼することはできません。画像の使用は価値がなく、本当に迷惑なユーザー エクスペリエンスになります。

SMS は静的パスワードよりも優れていますが、携帯電話会社のセキュリティに依存していることになります。しかし、非常に多くのユーザーがおり、システムのセキュリティを強化することはヘルプデスクへの問い合わせが増えることを意味するため、インセンティブは調整されていません。また、基本的なセキュリティの原則さえ守られていない iPad のメール アドレスについては、最新のスナフを参照してください。

銀行は、最低限のコンプライアンス基準を満たすことを視野に入れて、マーケットテクチャではなく、堅実なセキュリティ原則に基づいてアーキテクチャを構築し、標準的な暗号化技術に従うシステムの設計および/またはベンダーの使用に真剣に取り組む必要があります。

于 2010-06-21T16:43:23.340 に答える