Un consejo de seguridad común es abrir sitios solo desde marcadores (vea también ¿Explica a las personas que no tienen conocimientos de tecnología cómo verificar que tu conexión a mybank.com sea segura? ). Este enfoque falla si un sitio necesita un token de verificación de otro sitio que requiere inicio de sesión. (El sitio A redirige al usuario al sitio B con la solicitud de autorización como parámetro. El usuario inicia sesión / autoriza la solicitud en el sitio B. El usuario se redirige al sitio A con un token de verificación como parámetro). Surge un problema si el sitio A redirige al usuario a el sitio de phishing C, que se parece al sitio B y recopila las credenciales del usuario.
Por supuesto, el usuario podría en teoría verificar si este es el sitio B y no C. Pero en la práctica hay muchos problemas:
- comprobar cada carácter cada vez es molesto y no se hará después de varias veces
- hay muchos personajes de aspecto similar (homógrafos)
- los URL de los sitios de autorización a veces son diferentes de la página principal y es difícil recordarlos todos para diferentes sitios (fue my-bank.com / my-bаnk.com / mybank.com / my-bank.org / my-bank-auth.com / auth.my-bank.com?)
Entonces, ¿cuál es una manera fácil de verificar si no está ingresando sus credenciales en un sitio de phishing cuando llegó a ser redirigido?