WebサイトのUIスプーフィングの脅威に対して提案された解決策は何ですか?
6 に答える
定義上、ログイン後に個人情報を表示するサイトに依存するソリューションは、フィッシング詐欺師に対して効果がありません。あなたがログインしようとした場合、彼らはすでに成功しています!
FWIW、私はまだ本当の答えを知りません、多分この質問はいくつかの良いアイデアを投げかけるでしょう。ただし、私はフィッシング、不正なドメイン登録などの研究に専門的に関わっています。
Webサイト開発者が実装できる重要な技術的解決策はないと思います。繰り返しになりますが、定義上、ユーザーがフィッシングサイトにアクセスした場合、あなたはもはや制御できなくなります。
これが、現在のすべてのフィッシング対策テクノロジーがフィッシングサイトではなくブラウザに存在する理由です。
この問題の鍵は、実際のサイトへのリクエストとなりすましサイトへのリクエストの違いを特定することです。
最も単純な違いは、CookieベースのUI設定です。(実際の)サイトに設定されたCookieは、サイトにのみ返され、なりすましサイトに送信されることはありません。
現在、有効なCookieがサイトに送信されない、ユーザーが別のコンピューターを使用している、またはCookieの有効期限が切れている/削除されている可能性がある理由はたくさんありますが、少なくとも、Cookieがに送信されないことを保証できます。なりすましサイト。
ここでの唯一の答えは、より良い人々をプログラムすることだと思います。
外観をカスタマイズしたり、画像をアップロードしたりすることは、問題のユーザーがこれらのことがいつ間違っているかを実際に認識している場合にのみ機能します。多くのユーザーは、頻繁にアクセスするサイトを除いて、これらのことを決して認識しないと思います. 仮にそうしたとしても、フィッシングではなく、Web サイトのデザインの変更によるものである可能性があります。
1つの解決策は、ユーザーごとにWebサイトをカスタマイズすることです。なりすましは、ユーザーが基本的にWebサイトを同じように表示している場合にのみ機能します(1つのなりすまし-多くの被害者)。したがって、たとえば、eBayでカスタムの背景色を設定できる場合は、表示しているページがなりすましであることに気付くはずです(色の選択がわかりません)。実際の解決策はもう少し複雑です(ブラウザで設定された秘密のキーワードで、ブラウザだけがパスワードコントロール内またはURLバーにレンダリングできるなど)が、考え方は同じです。
ユーザーごとにUIをカスタマイズして、なりすまし(基本的に同じUIが表示されることを期待しているほとんどのユーザーに依存)が機能しなくなるようにします。これは、ブラウザベースのソリューション、またはWebサイトがユーザーに提供するもの(一部はすでに提供しています)の場合があります。
「個人」アイコンを選択できるサイトを見てきました。あなたがログインするときはいつでも、そのアイコンはあなたが彼らのサイトにいることの証拠として表示されます。
ユーザーがログインするときに質問をすることができます(ユーザーが回答とともに書いた質問)。
ユーザーが自分の写真を表示しない場合(自分だけが表示できるプライベート)、実際のWebサイトではない場合は、ユーザーがアップロードしたログの後に画像を表示できます。