¿Cuáles son las formas efectivas de prevenir el phishing dirigido?

Supongo que el banco quiere proteger a sus clientes contra el phishing. (No son sus empleados; ese es un problema diferente, y si quiere saberlo, hágalo por separado en una pregunta diferente).

El banco debe tomar varios pasos:

• Evite enviar por correo electrónico enlaces al sitio. Vaya al equipo de marketing y haga que dejen de hacer eso.

• No confíes demasiado en las contraseñas. Utilice la autenticación de la máquina, también. Por ejemplo, puede usar una cookie persistente segura, una cookie Flash o algún tipo de huella digital del navegador y la máquina del usuario. Las contraseñas son inherentemente inseguras contra el phishing. La ventaja del registro de la máquina es que autentica el navegador del usuario con un secreto que el usuario no conoce. Si el usuario no conoce el secreto, no se puede engañar al usuario para que lo revele. Con la combinación de la autenticación de la máquina más una contraseña, la autenticación de la máquina realiza la mayor parte del trabajo de autenticación, y la contraseña solo permite distinguir entre el usuario y su compañero de habitación / cónyuge / hijo / etc.

  • No confíe en las preguntas de desafío para autenticar al usuario cuando el usuario inicia sesión desde una nueva computadora. Los estudios han demostrado que los sitios de phishing pueden capturar las respuestas a las preguntas de desafío, al igual que lo hacen las contraseñas. Considere otros métodos para registrar una nueva máquina, por ejemplo, autenticación basada en correo electrónico.

• Use métodos de detección de fraude de back-end para detectar el uso malicioso de una contraseña robada. Puede ver si este es un tipo de transacción que el usuario ha realizado antes, a un beneficiario con el que ha realizado transacciones anteriormente, si la cantidad es grande o no, si la dirección IP y la ubicación geográfica del usuario y las huellas digitales del navegador se parecen a las que tiene. visto anteriormente, y muchas otras medidas estadísticas.

• Participar en grupos de trabajo anti-phishing. Trabaja para acabar con los sitios de phishing rápidamente. Admite el uso de listas negras de phishing en el navegador de los usuarios. Si un usuario inicia sesión con un navegador que es tan antiguo que no admite una lista negra de suplantación de identidad (phishing), envíele un mensaje que lo aliente a actualizar su navegador y le ofrezca un enlace fácil para hacerlo.

  • Participe en grupos de trabajo antifraude y presione a la comunidad bancaria para que cierre los bancos globales que facilitan el crimen en línea. Un estudio reciente encontró que solo 3 bancos representaron la monetización del 95% del spam; Si esos 3 bancos se cerraran o reprimieran a los spammers, podríamos ver una gran disminución en el spam. Hay razones para creer que un fenómeno similar puede ser válido también para otros elementos de la economía clandestina. Hacer que el cibercrimen sea menos rentable beneficiará la seguridad bancaria en todos los ámbitos (no solo en el phishing), por lo que es un ángulo prometedor.

• Use SSL en todo el sitio para todo el sitio y toda su presencia en línea. Compra un certificado EV. Esto les da a los usuarios una señal adicional (el brillo verde) que puede ayudar a algunos usuarios de alerta a darse cuenta cuando están bajo ataque.

• Habilitar seguridad de transporte estricta (HSTS). Esto le dice a los navegadores que solo se conecten a usted a través de HTTPS. Paypal lo usa. Tu también deberías. Es compatible con las versiones recientes de Firefox y Chrome.

• No ponga íconos de candados en sus páginas (por ejemplo, colocados al lado de los formularios de inicio de sesión), o de otra manera falsifique elementos cromados en el contenido de su página. Cuando haces eso, estás capacitando a los usuarios de una manera que facilita los ataques de phishing.

• Firme digitalmente todos los correos electrónicos enviados a los clientes. Hay algunas razones para creer que la mayoría de los clientes tienen un software que puede verificar estas firmas , y las firmas no causarán problemas para el software que no verifique la firma. (Gracias a @AviD por esta sugerencia).

• No use los SSN para la autenticación en ningún lugar de su negocio. Haga que sea menos valioso para los phishers robar números de seguro social y otra información personal.

Esto es lo que haría:

• tener un equipo de personal de seguridad para garantizar que todo el software esté actualizado / actualizado y configurado correctamente (el tamaño de este equipo depende del tamaño de la organización)
• no permita que ningún empleado acceda a nada que sea remoto y peligroso a menos que lo necesiten
• para aquellos empleados que sí necesitan acceso, piense exactamente lo que necesitan (por ejemplo, en un banco, no permita que un empleado de bajo nivel realice transacciones que involucren grandes cantidades de dinero)
• no le dé a nadie que tenga un acceso tecnológicamente desafiado. Despedir o entrenar a los empleados existentes si usted debe
• Si alguien importante como su CEO / ejecutivo es desafiado, no le dé acceso a la red, haga que todas sus acciones pasen por alguien que entienda la seguridad básica.
• mantenga buenos registros de todos los eventos importantes en la red, será útil cuando intente minimizar los daños después de que ocurra un ataque exitoso

Con respecto a la capacitación de los empleados sobre seguridad, no basta con pedirles que lean libros blancos. Debe realmente enseñarles los conceptos básicos de cómo un pirata informático obtiene acceso a una red, y si no lo hacen o no pueden aprenderlo, debe despedirlos o quitarles el acceso a cualquier cosa que necesite seguridad.

La solución para el phishing es la más básica: usar una autenticación mutua fuerte. Las contraseñas de texto claro sobre SSL autenticado unilateralmente no proporcionan esto. Esencialmente, el phishing separa los dos pasos de autenticación, rompiendo así la autenticación mutua.

Una mejora simple puede ser la autenticación segura basada en contraseña utilizando los protocolos PAKE, como SRP.

Otra mejora que también aborda la mayoría de los ataques basados en la ingeniería social es el uso de la autenticación de múltiples factores: puede llamar a alguien y convencerlo de que les revele su secreto, pero intente decirle que también les envíe su token USB. Esto es mucho más difícil, no se escala bien y es más arriesgado debido a la interacción física con la víctima. También es más difícil para la ingeniería social, ya que no es una simple acción espontánea para la víctima y se siente muy mal quitar ese token de su llavero y enviarlo a algún lugar.

Lo que queda entonces es que las personas intentan robar datos personales e información de tarjetas de crédito. Lo que se necesita aquí son los identificadores de identidad adecuados en el lado del cliente ("Este sitio web es bank.com"), los sistemas de pago seguro y, lo que es más importante, el sentido común.

Entonces, ¿por qué nadie está haciendo eso? La gente dice que el costo y la facilidad de uso es el problema. Pero la mayoría de las instituciones financieras ya se dieron cuenta de que se necesita un factor múltiple, aunque tienden a implementar soluciones incompatibles y, a menudo, vulnerables. La multitud de la Web también finalmente notó que las contraseñas realmente no se escalan bien, por lo que ahora tenemos administradores de contraseñas e identificación federal. El primero tiene restricciones bastante similares a las soluciones basadas en tarjetas inteligentes adecuadas y el segundo sigue siendo vulnerable. El problema es que a la gente no le gusta PKI. Es demasiado complejo, demasiado desconocido, aunque IE y Firefox tienen un soporte bastante bueno a estas alturas. Necesitamos sistemas como Skype y Jabber, donde la PKI se reinicia silenciosamente en segundo plano y la autorización se realiza básicamente con la administración de continuidad de claves. Y reemplace X509 con SPKI, para reducir los errores de procedimiento e implementación.

Realmente, la mejor defensa es el entrenamiento de la conciencia: tiene algún efecto, pero de ninguna manera es infalible. Los dos grandes problemas son:

1: los usuarios finales olvidan su enseñanza y siguen haciendo clic en los enlaces

2: algunos bancos aún tienen equipos de marketing que envían correos electrónicos con enlaces

Los bancos globales más grandes tienen una gran capacidad de eliminación de sitios de phishing, por lo que al menos esto obliga a los atacantes a hacer un esfuerzo mucho mayor para eliminar los ataques de phish.

Echa un vistazo a esta pregunta anterior sobre phishing para obtener más información.

update El phishing dirigido, o la pesca submarina, es una táctica muy exitosa para los atacantes, ya que personalizan los correos electrónicos a un nivel tal que la mayoría de las personas creen que son de una fuente confiable. Actualmente, el esfuerzo involucrado significa que aún son los objetivos de mayor valor los que son atacados, sin embargo, los ataques como el reciente pirateo de PSN han proporcionado a los atacantes información útil para llevar a cabo este ataque a gran escala.

No creo que la formación de conciencia funcione.

La mejor forma de combatir el phishing es agregar a la lista blanca las direcciones de correo electrónico y el contenido / comportamiento de las aplicaciones web a las que pueden acceder los usuarios.

Hay muchas formas de detener el phishing que usa malware. ¿En qué tipo de ataques de phishing estás interesado y quizás te pueda dar algún consejo adicional?

Además de las sugerencias dadas, también sugeriría obtener ayuda de los proveedores de MSS. Hay pocos proveedores de MSS que ofrezcan un servicio basado en suscripción que ayude a la organización a detectar el phishing y el abuso de marca en línea.

Un ojo adicional definitivamente sería útil en casos como estos.