Explique a una persona no experta en tecnología cómo verificar que su conexión a mybank.com sea segura?

Actualización 09/2018:

Aunque anteriormente dije que esta podría ser una buena opción, el mundo ha cambiado, y el uso de EV ya no es un indicador particularmente confiable, incluso teniendo en cuenta los inconvenientes que se mencionan a continuación. Hay artículos como este de Troy Hunt que explican el problema completo, pero, en En pocas palabras, los navegadores ya no tratan los certificados EV como algo especialmente especial, y ocultan o reducen los indicadores del estado EV.

Tomando el primero de los sitios mostrados anteriormente, por ejemplo, aparece la siguiente pantalla en, respectivamente, Chrome 69, Edge, Firefox 62 e Internet Explorer 10. Safari en dispositivos móviles muestra un candado verde y "Barclays PLC", Chrome activado El dispositivo móvil muestra un candado verde, "https" en verde, y luego el resto de la URL en negro.

Enotraspalabras,inclusosielsitioutilizauncertificadoEV,yanohayunsoloindicadorquepuedacomunicarsefácilmenteaunapersonanotécnica.Siempreestuvoamerceddelosnavegadores,yyanosetratacomoalgoespecial.

Entonces,¿cuáleslaalternativa?Nosemeocurrenada:lasURLacontinuaciónpertenecenaunavariedaddesubdominiosdelossitiosdelbanco,loquedificultalabúsquedadelnombredelbancoynofuncionaenalgunosdispositivosmóviles,quenomuestranlaURLcompleta.Elsímbolodelcandadoesfácildesolucionar,dadaladisponibilidaddecertificadosSSLgratuitosparalosdominiosqueustedcontrola.Actualmente,lamayoríadelosnavegadoresmuestranactualmente"https: //", pero no "http: //", pero confiar en que el resto del caso tiene la mayoría de los mismos problemas que depender de la barra de direcciones verde.

Eso deja teclear la dirección del banco en la barra de direcciones cada vez, y estar absolutamente seguro de que no hay errores tipográficos, lo que tampoco es un método confiable. La búsqueda no es confiable: la mayoría de los proveedores de búsqueda son muy buenos para eliminar enlaces falsos en anuncios en términos como "inicio de sesión de banca en línea", pero solo se necesita un enlace perdido. Los siguientes enlaces del sitio del banco principal simplemente hacen que el problema de verificación suba un nivel.

Supongo que es solo tener cuidado: use un solo dispositivo para acceder al sitio de la banca, use un marcador que se haya comprobado cuidadosamente en la creación y no permita que nadie más acceda a ese dispositivo, por lo que no pueden ser modificado. Probablemente tenga sentido para algunas personas, pero podría ver que es una carga demasiado grande para el usuario promedio, donde los dispositivos se comparten con miembros de la familia o pueden ser accedidos por compañeros de trabajo.

Original 02/2016:

Iba a sugerir que, al garantizar que la pantalla de inicio de sesión del sistema bancario en línea mostraba el nombre del banco en verde, en la barra de direcciones podría funcionar. Pero luego comencé a preguntarme si alguno de los bancos locales que conozco lo hizo correctamente.

Es menos alentador de lo que esperaba. Para estos nueve bancos bastante grandes, 6 proporcionan el nombre del banco en la barra de certificación EV. 2 proporcione el nombre del grupo principal (lo que no siempre es obvio), y uno ni siquiera tiene un certificado EV.

El certificado EV está diseñado para facilitar esto, si se usa correctamente; no puede falsificarlo fácilmente, y está fuera del área de la página, por lo que no puede ser insertado por un actor malicioso. Sin embargo, parece que los bancos no lo están haciendo tan bien en usarlo.

Por qué fallan los indicadores de seguridad en comparación con el phishing

No se puede tomar ninguna acción que sea económicamente viable. Dicho de otra manera, es demasiado esfuerzo para defenderse de los ataques de phishing. Consulte "Hasta ahora, no, gracias por las externalidades" para Un ejemplo sobre la economía de EE. UU. y los trabajadores de la información.

Usted tiene razón al comprobar que la corrección de la URL es propensa a errores, y los indicadores de seguridad pasivos HTTPS son una gran broma. Pasan desapercibidos, han estado sin significado durante años (¿qué significa que el teclado sea azul o verde o gris?), Y si fueran más prominentes / activos, la gente se acostumbraría a verlos y los ataques simplemente podrían comprar. un certificado para una URL maliciosa para que el nombre se desprenda.

La solución a este problema debe ser arquitectónica, en lugar de confiar en perder el tiempo de los humanos y en dichos humanos para no cometer errores. ¿Por qué los navegadores web no tienen un repositorio centralizado y confiable desde el cual verificar las URL de los bancos y los sitios web de pago / transferencia acreditados, de modo que se puedan usar indicadores de seguridad únicos para dichos sitios?

Solución: haga que los usuarios confíen en una interacción segura en lugar de hacerles lidiar con las limitaciones de los indicadores

Le diría a la gente que ingrese al sitio web una vez, me asegure de que la URL sea correcta una vez (puede ayudarles) y la guarde en sus favoritos. Y use exclusivamente el botón de favoritos para que sepan que están en el sitio web correcto. Les diría (sin detalles) que nunca se sabe dónde aterrizará cuando haga clic en un enlace o busque un sitio web, pero el botón de favoritos siempre lo lleva al lugar correcto. ¿Cómo? No importa.

En esta etapa, los usuarios tienen garantizado el acceso a la URL correcta. Si se está produciendo un ataque MITM activo, obtendrán la advertencia de certificado de miedo, que normalmente no tienen para su sitio web bancario. La habituación de advertencia es algo muy real, y faltan datos para determinar si los usuarios le prestarán atención en el contexto de un sitio web bancario de confianza anterior. Mejorar esta advertencia (por ejemplo, hacer que los sitios bancarios sean más atemorizantes) también requeriría conocer qué es y qué no es el sitio web de un banco.

"Le pregunto cómo explicar a un usuario común cómo verificar que el navegador usa HTTPS y que está en el sitio correcto ..."

Estoy de acuerdo con lo que otros han dicho aquí acerca de buscar el bloqueo y la "s" en https y verificar que la url después de la // es correcta. Eso es lo que les recuerdo a mis clientes que hagan. Todas las instituciones financieras tendrán estas cosas como mínimo

Otros enfoques como el "nombre verde" en los certificados de EV son útiles, pero no todos los bancos los usan porque son mucho más caros y requieren más papeleo para implementar (para demostrar quién es usted) que un certificado SSL estándar.

Dos cosas que agregaría a la discusión es tal vez centrarse en cómo la gente llega al sitio bancario.

Si están llegando a través de un marcador (está bien siempre y cuando siempre uses la misma computadora y navegador), o a través de la aplicación móvil del banco, o escribiendo la url de su banco (con la esperanza de que sea corta y esté bien escrita) cada vez, es mucho menos probable que se produzcan ataques de phishing o MITM.

Sin embargo, si están respondiendo a un enlace en un correo electrónico que dice ser del banco (siempre dudoso), o fuera de los resultados de un motor de búsqueda, deben ser extremadamente cautelosos o evitar estas avenidas por completo.

La otra cosa que hago con mis clientes es advertirles de las consecuencias si se descuidan ... como descubrir transacciones que no hicieron y / o dinero que se fue de su cuenta, transferido a países donde la recuperación podría ser imposible (como Rusia o China). Básicamente, un poco de miedo / paranoia puede hacer mucho para mantener a las personas vigilantes y sus cuentas a salvo. Espero que esto ayude!

Esencialmente tu pregunta es de autenticación. En este caso, los usuarios que autentican el sitio web del banco son en realidad el banco.

Creo que tienes razón, y el usuario tendrá dificultades para autenticar el banco a través de la URL (muchos bancos tienen varias URL, por ejemplo). También está en lo cierto al afirmar que los usuarios no son demasiado sofisticados con respecto a las URL, y no lo hacen (y no pueden recibir capacitación) para entenderlo correctamente.

Un enfoque que he visto en algunos bancos es que el banco siempre muestra un secreto compartido antes de que el usuario se autentique. Funciona algo como esto:

El usuario realiza una autenticación previa al ingresar un nombre de usuario y una respuesta a una pregunta de seguridad.

El sitio web muestra una imagen, una palabra o ambas que el usuario ha seleccionado. Esto garantiza que el banco sea realmente el banco, ya que solo el banco conoce la imagen o frase que el usuario ha elegido.

El usuario ingresa la contraseña.

Me gusta confiar en la función de autocompletar de mi administrador de contraseñas para esta verificación.

El fundamento es que no seré lo suficientemente inteligente para hacer coincidir la URL del sitio en el navegador con la esperada, mientras que un administrador de contraseñas lo hará.

Entonces, cuando veo que ha completado la entrada del sitio, el sitio es genuino, de lo contrario, debería empezar a preocuparme.

El administrador de contraseñas, por supuesto, debe ser "bueno", pero ese es otro problema.

La respuesta de Steve DM (revisar y marcar la página) es mejor desde un punto de vista de seguridad absoluto, pero otra opción viable (y posiblemente más fácil de usar) es decirle al banco de Google cada vez que haga clic en un enlace.

De esta manera, usted confía en que Google lo lleve al lugar correcto en lugar de a algún enlace oculto y sus habilidades de observación.

Es fácil, y algo que tu amigo ya hace regularmente.

NOTA: Esto todavía es susceptible a los ataques MITM, pero evitará los ataques de phishing básicos. Acabo de decirle a una persona no experta en tecnología que siempre busque en Google su banco (y otros sitios sensibles) y que no inicie sesión en sitios web sensibles en lugares públicos.

Sí. Use una aplicación que se conecte definitivamente al sitio.

o. Compruebe el https. Verificar la url. Asegúrese de que la URL sea lo suficientemente corta como para ver visualmente la manipulación. Además, tal vez algunos ejemplos de ataques homográficos.