¿Los subdominios son una cura para el phishing?

Navega tus respuestas
1

Al ver que el phishing se está volviendo más popular y los usuarios están menos preocupados por la seguridad, estoy tratando de encontrar una solución para un nuevo sitio mío que pueda detener a los phishers. Por ejemplo, cualquiera puede crear un nuevo sitio que se parezca exactamente a los usuarios de Gmail y phish para obtener su UN / PW.

Sin embargo, ¿qué sucede si hacemos que el usuario elija su subdominio en el registro? Sólo pueden iniciar sesión en este subdominio, es decir. mysubdomainchoice.domain.com. Ahora, cuando el phisher obtiene las credenciales de un usuario inocente, ya no sabe dónde puede aplicarlas. Después de varios intentos de inicio de sesión no válidos, podemos bloquear al usuario de manera segura y hacer que cambien su un / pw si llegan a su subdominio correcto y responden sus preguntas de seguridad.

¿Es esta una forma válida de defensa contra el phishing y otros lo han pensado antes?

    
pregunta ElectricSignal 13.10.2013 - 01:43
fuente

3 respuestas

2

Como otros han señalado, el problema sigue en pie. Considere user.example.com contra user.examp1e.com .

Cualquier confirmación visual de que están en el sitio correcto será ignorada por el usuario descuidado, o incluso considerada válida por el cuidadoso, siempre que sea lo suficientemente buena. Lamentablemente, comprobar cada carácter de la URL sigue siendo la única opción real.

La única sobrecarga para el atacante es tratar de enviar enlaces con subdominios personalizados, pero eso no le ayudará si sus usuarios no comprueban dónde está haga clic aquí . El enlace los señala.

La página de inicio de sesión de mi Uni muestra una advertencia similar a esta:

  

Compruebe la dirección de esta página web. Debería comenzar con: enlace . Si no es así, ¡no continúe!

que requiere cierta vigilancia, pero aun así, el atacante podría cambiar la URL mostrada en el navegador para que incluso eso no es un método infalible.

La única defensa contra el phishing es la siguiente:

  • Comprueba la URL
  • Compruebe la URL en el certificado
  • Verifique las noticias para ver si la CA del destino se ha roto recientemente
respondido por el rath 13.10.2013 - 06:42
fuente
2

Déjame hacerte una pregunta.

¿ realmente piensa que sus usuarios podrán recordar el subdominio que debería estar usando? Sé que definitivamente no lo haré.

Entonces, ¿qué sucede cuando un usuario olvida qué subdominio debería usar? Lo más probable es que pruebe algunos de ellos para ver si funciona. Esto activará un bloqueo de acuerdo con su esquema. Ahora, tienes un usuario enojado que llama a tu línea de soporte y te grita para arreglar las cosas. Un usuario enojado es un usuario descuidado.

Entonces, ¿qué sucede si un atacante envía a dicho usuario un enlace de phishing? Después de pasar por el molesto proceso de gritar al servicio de atención al cliente un par de veces, es probable que el usuario no cuestione el hecho de que puede iniciar sesión por primera vez a través del enlace de phishing. De hecho, será bastante feliz.

Así que no, no creo que este sea un buen esquema, ya que tiene la posibilidad de molestar a los usuarios. Cuando se trata de seguridad, realmente desea que los usuarios estén de su lado.

    
respondido por el Ayrx 13.10.2013 - 03:42
fuente
1

No.

Si un usuario no es lo suficientemente inteligente como para verificar que está en domain.com antes de ingresar sus credenciales, seguramente no será lo suficientemente inteligente como para asegurarse de que esté en secret.domain.com.

    
respondido por el David Houde 13.10.2013 - 06:33
fuente

Lea otras preguntas en las etiquetas

¿En qué sentido es Knock to Unlock más seguro que una contraseña? ¿Se trata de un problema de seguridad en el host remoto o en el host local?