对于网站 UI 欺骗的威胁,您建议的解决方案是什么?
6 回答
根据定义,任何依赖于网站在您登录后向您显示个性化信息的解决方案都对网络钓鱼无效。如果您尝试登录,他们已经成功了!
FWIW,我还不知道真正的答案,也许这个问题会引发一些好主意。然而,我专业从事网络钓鱼、不良域名注册等方面的研究。
我不相信网站开发人员可以实施任何重要的技术解决方案。同样,根据定义,如果您的用户到达网络钓鱼站点,您将不再处于控制之中。
这就是为什么所有当前的反钓鱼技术都驻留在浏览器中,而不是在钓鱼站点中。
这个问题的关键是识别对真实站点的请求和对欺骗站点的请求之间的一些区别。
最简单的区别是一些基于 cookie 的 UI 首选项。在您的(真实)网站上设置的 cookie 只会返回到您的网站,并且永远不会发送到恶搞网站。
现在有很多原因可能无法将有效的 cookie 发送到您的站点,用户可能正在使用不同的计算机,或者他们可能已经过期/删除了 cookie,但至少您可以保证它不会被发送到恶搞网站。
我认为这里唯一的答案是编程更好的人。
只有当有问题的用户真正意识到这些事情是错误的时,才可以进行自定义外观或上传图像之类的操作。我认为除了他们经常访问的网站之外,大多数用户永远不会认出这些东西。即使他们这样做了,他们也可能将其归因于网站设计的变化,而不是网络钓鱼。
一种解决方案是为每个用户定制网站。只有当用户对网站的看法基本相同时,欺骗才有效(一个欺骗 - 许多受害者)。因此,例如,如果 eBay 允许您配置自定义背景颜色,您应该能够注意到您正在查看的页面是一些恶搞(不知道您选择的颜色)。一个真正的解决方案要复杂一些(比如可能在浏览器中配置了一个秘密关键字,只有浏览器才能在密码控件或 url 栏中呈现等),但想法是一样的。
自定义每个用户的 UI,这样欺骗(依赖于大多数用户希望看到基本相同的 UI)停止工作。它可以是基于浏览器的解决方案,或者是网站向其用户提供的东西(有些已经这样做了)。
我见过一些网站可以让您选择“个人”图标。每当您登录时,该图标都会显示为您在他们的网站上的证明。
您可以在用户登录时提出问题(用户已写下答案的问题)。
您可以在用户上传的登录后显示一张图片,如果用户没有看到他的图片(只有他可以看到的私人图片),那么它不是真实的网站。