网络钓鱼是我们面临的一个非常严重的问题。然而,银行是最大的目标。银行可以使用哪些方法来保护自己免受网络钓鱼攻击?有人应该使用什么方法来保护自己。为什么它会阻止攻击?
问问题
2050 次
6 回答
8
网络钓鱼通常通过将消费者引导到网站的抓取版本来起作用。一种开始更普遍的方法是动态网站,在输入用户名和输入密码之前,银行网站会显示消费者选择的一些图像或短语,我将其称为反密码。本质上,不仅消费者必须出示有效密码,银行也必须出示有效密码。相互认证。
网络钓鱼站点在不询问银行的情况下无法显示正确的反密码,这使银行有机会检测、混淆和起诉代理。
这可以通过使用带外通信信道来增强。如果发出请求的 IP 地址(可能是代理,可能通过洋葱路由)不是消费者之前登录的地址,则向消费者发送一条短信,其中包含他们必须在柜台前额外使用的一次性代码 -密码显示并启用登录。
其他方法是让浏览器缓存正确的服务器证书,并在消费者访问没有缓存证书的站点时告诉消费者,从而警告消费者这不是他们以前使用过的熟悉站点。
于 2010-06-20T20:56:42.187 回答
3
IMO,银行可以做的最好的事情就是教育它的用户何时以及如何与他们沟通。许多用户不知道什么是网络钓鱼,因此向他们展示示例并提高他们对欺诈的认识将比任何技术解决方案做得更多(尽管技术方面应该同样积极地追求)。意识到可能发生网络钓鱼的用户将不太可能成为它的牺牲品。
于 2010-06-20T20:56:39.117 回答
2
使用 EV SSL 证书,然后在您的登录页面上放置一条消息,告诉用户在浏览器中查找 EV 签名。
在您的电子邮件中明确说明您的银行永远不会要求用户提供密码。设置专门用于网络钓鱼的特殊电子邮件,以便客户可以向您发送可疑电子邮件,然后您可以通知客户。
于 2010-06-20T20:53:50.600 回答
1
1
从银行的角度来看,最简单的缓解方法是在创建帐户时教育客户(a)银行没有客户的电子邮件地址,因此它根本无法向他们发送邮件,并且(b)发送给每个现有客户一次的信,解释相同。
对于客户来说,这样做的好处是他们会知道,每当他们收到一封声称来自他们银行的邮件时,这不可能是真实的。
于 2010-06-20T21:14:56.987 回答
1
我建议根据攻击类型分析网上银行欺诈:被盗凭据、中间人和恶意软件/浏览器中的人以及身份验证如何阻止它们:会话的双因素身份验证、相互身份验证防止 MitB 的 MITM 和交易认证。我在 2006 年写了一篇关于此的文章:http ://www.bankinfosecurity.com/articles.php?art_id=115&pg= 1,我写了一篇关于相互 https 身份验证的文档教程:http: //www.howtoforge.com/prevent_phishing_with_mutual_authentication . EV 证书几乎没有附加价值,原因与标准 ssl 价值不大的许多原因相同:没有人知道如何验证证书,并且 UI 不可信。使用图像没有价值,并且会带来非常烦人的用户体验。
虽然 SMS 比静态密码更好,但您仍然依赖于手机运营商的安全性。但是,由于他们拥有如此多的用户,并且提高系统的安全性意味着更多的帮助台呼叫,因此激励措施并不一致。此外,请参考 iPad 电子邮件地址的最新混乱,其中甚至没有遵循基本的安全原则。
银行需要认真设计系统和/或使用基于可靠安全原则的架构并遵循标准加密技术而不是满足最低合规标准的市场结构的供应商。
于 2010-06-21T16:43:23.340 回答