¿Cómo verificar si el sitio redirigido como OAuth es genuino?

3

Un consejo de seguridad común es abrir sitios solo desde marcadores (vea también ¿Explica a las personas que no tienen conocimientos de tecnología cómo verificar que tu conexión a mybank.com sea segura? ). Este enfoque falla si un sitio necesita un token de verificación de otro sitio que requiere inicio de sesión. (El sitio A redirige al usuario al sitio B con la solicitud de autorización como parámetro. El usuario inicia sesión / autoriza la solicitud en el sitio B. El usuario se redirige al sitio A con un token de verificación como parámetro). Surge un problema si el sitio A redirige al usuario a el sitio de phishing C, que se parece al sitio B y recopila las credenciales del usuario.

Por supuesto, el usuario podría en teoría verificar si este es el sitio B y no C. Pero en la práctica hay muchos problemas:

  • comprobar cada carácter cada vez es molesto y no se hará después de varias veces
  • hay muchos personajes de aspecto similar (homógrafos)
  • los URL de los sitios de autorización a veces son diferentes de la página principal y es difícil recordarlos todos para diferentes sitios (fue my-bank.com / my-bаnk.com / mybank.com / my-bank.org / my-bank-auth.com / auth.my-bank.com?)

Entonces, ¿cuál es una manera fácil de verificar si no está ingresando sus credenciales en un sitio de phishing cuando llegó a ser redirigido?

    
pregunta H. Idden 02.02.2016 - 01:09
fuente

1 respuesta

1

Todos los consejos proporcionados sobre la pregunta que vinculó ya son suficientes para verificar el proceso de inicio de sesión, incluso cuando se utiliza un proveedor externo. Solo tiene que repetir el proceso en cada página a la que se le redirige.

Si estás preocupado por los homoglifos o los squatters tipográficos, entonces solo tienes que revisar el certificado con un poco más de detalle. La mayoría de los navegadores web (navegadores de escritorio, al menos) tienen una función que le permite ver todos los detalles pertinentes del certificado de un sitio web, lo que es más importante, incluida la organización a la que se emitió e información sobre la Autoridad de certificación emisora.

Si el certificado es válido para el servidor o dominio dado, emitido a una organización de confianza y emitido por una Autoridad de Certificación acreditada, puede estar razonablemente seguro de que no está tratando con algún tipo de servidor falso. / p>

Claro, los atacantes pueden usar homoglyphs o typo-squatting para hacer que su servidor / dominio parezca que tiene un nombre que su banco podría usar. Pero tendrían que hacer un gran esfuerzo para obtener un certificado verificado que realmente parece que fue emitido a su banco por una autoridad competente. Si realmente pueden llegar tan lejos, es probable que ninguna cantidad de verificación en su extremo detecte algún problema.

Piense, casi todos los cheques que puede hacer manualmente en el sitio o su certificado (al menos, cualquier cheque que sea "fácil de usar") ya lo realiza su navegador. Por lo tanto, a menos que su sistema local ya esté comprometido (en ese momento, realmente no importa si usted está realmente en el sitio de su banco o no), es probable que no encuentre nada sobre el sitio de un atacante haciendo algo más. cheques que ya no estarían marcados en rojo por su navegador.

Solo mantén un ojo en el ícono de "candado", asegúrate de que no haya signos de advertencia (los certificados verdes de "Validación ampliada" son ideales, pero estrictamente opcionales) en cada página, y deberías estar bien.

    
respondido por el Iszi 15.08.2016 - 23:15
fuente

Lea otras preguntas en las etiquetas