¿Cómo evita Stripe Checkout los ataques de phishing?

Navega tus respuestas
1

La superposición de Stripe Checkout ( enlace ) aparece dentro de un sitio y no muestra la URL asociada. Un sitio web malintencionado podría crear su propia superposición que se parece a la de Stripe y engañar a los usuarios para que crean que le están dando la información de su tarjeta de crédito a Stripe.com

¿Es posible que Stripe esté haciendo algo para evitar esto? ¿O simplemente no es una preocupación suficiente para ellos?

    
pregunta Shailesh Tainwala 09.11.2015 - 18:32
fuente

2 respuestas

1

La superposición Checkout de Stripe no ayuda a prevenir el phishing, pero la alternativa preferida (iframes) tampoco lo hace, por lo que es un lavado en términos de seguridad de phishing.

PCI DSS enfatiza los pasos necesarios para asegurar el servidor que proporciona la página general al cliente, lo que a su vez debería ayudar a garantizar la validez de los (iframe, javascript, enlaces). Si el servidor web del comerciante es expulsado, todos pueden ser redirigidos a un tercero malicioso, por lo que el enfoque es evitarlo.

Las cosas tienden a funcionar así:

  1. La entrada de datos de la tarjeta de outsourcing al procesador reduce el alcance del comerciante y mejora la seguridad general
  2. Los comerciantes prefieren que el proceso de pago se realice sin problemas; el cliente no debe ser consciente de # 1 a menos que realmente quiera saberlo.
  3. iframe y javascript pueden ser ininterrumpidos, pero al mismo tiempo eliminar los indicadores de phishing del proceso.

Al final, # 1 y # 2 superan los negativos de # 3 debido a la falta de preocupación contra el phishing por parte de PCI DSS.

    
respondido por el gowenfawr 09.11.2015 - 19:33
fuente
0

Lo que debe tener en cuenta es que si el actor malintencionado es el propietario del sitio web, pueden hacer que el sitio se muestre como mejor le parezca, incluyendo una "URL de origen" si Stripe decidió incluir uno. De manera similar, podría hacer un sitio web que se parece exactamente a google.com y enviar todas las solicitudes de búsqueda a Google para que pueda:

a) Coseche los términos de búsqueda de los usuarios, junto con sus direcciones IP, huellas digitales del navegador, etc., y
b) Producir una página de búsqueda de Google real, para que los usuarios piensen que nada está mal

En ambos casos, Stripe y Google no pueden impedirme que un servidor web que controlo tenga un aspecto exactamente igual al de sus productos, además de posiblemente presentar solicitudes de infracción de DMCA con mi proveedor de alojamiento, aunque dudo que un criminal realmente vaya preocuparse, y solo pasará a otro proveedor de hosting si eso sucediera.

Para responder a sus preguntas:

  

¿Es posible que Stripe esté haciendo algo para evitar esto?

Probablemente no, aunque alguien de Stripe sería el único capaz de responder con seguridad.

  

¿O simplemente no es una preocupación suficiente para ellos?

Estoy seguro de que están preocupados por eso, pero es poco lo que podrían hacer aparte de las reclamaciones de copyright / trandmark mencionadas anteriormente que podrían hacer contra un sitio malicioso con los logotipos de sus marcas.

    
respondido por el Craine 09.11.2015 - 23:15
fuente

Lea otras preguntas en las etiquetas

arpspoof en la red corporativa [cerrado] ¿Caducidad de sesión debido a weblogic.xml para mitigar el secuestro de cookies? [cerrado]