Evitar el phishing de algunos sitios web críticos

Un sitio web de suplantación de identidad (phishing) común se ve extremadamente similar al sitio web que intenta suplantar, pero sigue siendo un sitio web diferente.

Uno podría desarrollar una herramienta que examine los sitios web que visita el usuario y los alerta cuando se ven exactamente idénticos a uno de los sitios web establecido en $ S $.

Lamentablemente hay un problema con esto: un sitio web de phishing solo necesita ser casi idéntico. La comparación de datos para igualdad exacta es trivial para los programas de computadora, pero detectar casi igualdad es un problema mucho más difícil. La herramienta requeriría un algoritmo heurístico complejo para calificar la similitud de dos sitios web. Dichos algoritmos podrían jugarse: sería fácil para el phisher hacer cambios sutiles que son invisibles para el usuario, pero hace que el programa lo confunda con un sitio web no relacionado.

Sin embargo, también existe un enfoque opuesto que es mucho más sencillo: notificar al usuario cuando el sitio web que visita es legítimo y no hacer nada en sitios web ilegítimos. Esto ya está integrado en la mayoría de los navegadores web modernos en forma de iconos de notificación de certificados en la barra de navegación. Este mecanismo requiere la utilización de https, por lo que no funcionará cuando use regularmente la versión http de dichos sitios web. Es muy razonable capacitar a los usuarios para que solo ingresen las credenciales de inicio de sesión cuando vean el ícono de candado verde con el nombre del sitio web en la barra de direcciones (certificado extendido).

El complemento del navegador HTTPS Everywhere de Electronic Frontier Foundation redirige automáticamente al usuario a la versión https de muchos populares sitios web Es altamente recomendable para usuarios de Internet conscientes de la seguridad (y aún más recomendable para aquellos que no lo son).

Como lo menciona curious_cat en los comentarios, las conexiones https deberían ayudar, ya que la identidad del sitio web se valida.

Hay varias herramientas del lado del cliente que intentan identificar el contenido del sitio web mediante el uso de un complemento del navegador: Phishtank, Web of Trust, Avast!

Los navegadores web populares también vienen con algún tipo de mecanismo para tratar de identificar sitios web de phishing, sin embargo, no son confiables y se consideran un enfoque de mejor esfuerzo.

Alternativamente, si se trata de un navegador personalizado o una configuración especial, es posible que le interese un enfoque de API como isitphishing.org o cryptophoto.com

No estoy seguro de la respuesta a su pregunta real, por ejemplo, si es posible que una herramienta distinga entre www.google.com y www.gooogle.com y avise al usuario de un intento de phishing.

La mejor protección sería un administrador de contraseñas basado en navegador .

Esto solo ofrecerá credenciales de inicio de sesión para sitios coincidentes. Por lo tanto, si el usuario accede a www.google.com , el complemento ofrecerá sus credenciales de Google para completar el formulario de inicio de sesión.

Si el usuario va a www.gooogle.com , las credenciales no se ofrecerán ya que el dominio no coincide.

Utilizo una herramienta de un proveedor que hace exactamente esto. Es básicamente un conjunto de expresiones regulares aplicadas al texto del nombre de dominio para permutar sobre las variaciones.

¿Se puede engañar? Por supuesto. Si solo utiliza la manipulación de cadenas, entonces uno puede descubrir los patrones de manipulación y diseñar nombres de dominio que cumplan con los criterios de ataque.

El problema para los phishers aquí es crear un nombre de dominio con una similitud lo suficientemente alta como para el dominio objetivo, de modo que se engañe a los usuarios, mientras que el nombre de dominio es lo suficientemente diferente de las técnicas de análisis de cadenas de las defensas. Cualquier defensa técnica nunca será 100% efectiva porque la tecnología (o diseñador) necesita poder predecir la debilidad psicológica de los usuarios. Los problemas tecnológicos son fáciles de resolver con la tecnología. Los problemas de psicología son difíciles de resolver con tecnología.

Por ejemplo, la herramienta que uso no inspecciona la ruta en la URL. Por lo tanto, una URL del tipo log.in.co/m/kjfbkbwbfekjb/example.com no se detectará como una falsificación potencial de example.com , mientras que un usuario incauto la interpretará como una página de inicio de sesión. Esta es una debilidad de la herramienta, pero no necesariamente una falla de la herramienta. Imagine servicios válidos que hagan referencia a su dominio utilizando el nombre de dominio en la URL (los servicios de administración de correo electrónico, sitios de encuestas, etc. pueden hacer esto). Al bloquear el dominio en la ruta, evitará que estos servicios válidos funcionen.

Como siempre, existe el equilibrio entre facilidad de uso y seguridad y, a veces, ese equilibrio es único para cada persona / organización. Agregue a eso la interacción entre tecnología y psicología que mencioné anteriormente y encontrará que, sí, es posible proteger eficazmente contra los ataques que menciona, pero puede haber un costo inaceptable en la usabilidad.