Sitio web de prueba de phish. ¿Posible? [cerrado]

Navega tus respuestas
0

Viendo cómo grandes nombres como Gmail, Yahoo! (a pesar del sello de inicio de sesión) y Hotmail (Live Mail) son propensos a los ataques de phishing, esto plantea la cuestión de si es posible (teóricamente) salvaguardar un formulario de inicio de sesión en el sitio web contra las estafas de phishing.

Ahora, antes de ir a responder si es posible (teóricamente) realizar pruebas de phish en un sitio web, entiendo que debemos establecer algunos factores.

  1. ¿Cuál es el método general utilizado para crear una página de inicio de sesión de phish? ¿Es posible contrarrestar este método de creación de página de phish generalizado ? Es decir, si un programador puede vencer el método de creación de phish "generalizado", ¿puede esperar realizar un cambio importante en la industria de la seguridad?

  2. ¿Cuál es la comprensión tecnológica y de programación de la mayoría de los piratas informáticos? Si no es posible realizar una prueba de suplantación de identidad (phish) completamente en el sistema de inicio de sesión de un sitio web, ¿es posible expulsar del juego al 80-90% de creadores de suplantación de identidad (phish) fuera del juego haciendo que la creación de páginas de phishing sea un proceso complejo y difícil? >

  3. ¿Cuál es la teoría detrás de algunos de los mecanismos de prueba de phish en la práctica actual (sello de inicio de sesión de Yahoo, etc.)? ¿Son estos métodos efectivos? Si los métodos son prácticamente ineficaces, ¿es posible mejorar la eficiencia de estos métodos mientras se adhieren a la misma teoría / idea? ¿O es el mismo enfoque que es errático?

Sé que los expertos tendrían diferentes opiniones sobre estos asuntos, pero espero que al menos pueda encontrar algunos puntos de consenso sobre estos temas.

    
pregunta Youstay Igo 10.11.2015 - 14:44
fuente

4 respuestas

5

Probablemente no .

Un ataque de phishing no se basa en el uso del contenido de la página de inicio de sesión real, solo se basa en que el usuario trate la página de phishing como si fuera la página de inicio de sesión. Incluso si, como se sugiere en los comentarios, cierra los servidores completamente, eso no significa que sus usuarios no responderán a un correo electrónico de suplantación de identidad que simula ser usted.

Para elaborar, no importa cuán sofisticados y avanzados sean los algoritmos de seguridad subyacentes. Si no puedo usar su página tal como está, puedo (en el peor de los casos) tomar una captura de pantalla y colocar algunos formularios en ella, y esto será lo suficientemente bueno para una parte decente de mis objetivos.

Si no puede hacer que la página sea a prueba de phish, puede intentar ayudar a sus usuarios a responder mejor a los intentos de phishing, capacitándolos para que reconozcan su sitio legítimo y tengan alguna parte de ese sitio. Eso es único para ellos. Por ejemplo, los bancos a menudo tienen una imagen personal que le muestran durante el proceso de inicio de sesión. Es poco probable que una página de phishing pueda reproducir con precisión estas secciones únicas, y en su lugar eliminará el segmento o sustituirá una imagen genérica. Si el usuario está atento, lo notarán y abortarán antes de enviar su información.

Sin embargo, como comenta Adam Shostack, existe evidencia de que la capacitación de usuarios no es confiable y tiene un bajo rendimiento. Además, una página avanzada de phishing podría enviar información al sitio real y devolverle las partes únicas a medida que avanza.

    
respondido por el Samthere 10.11.2015 - 17:24
fuente
3

No. Usted no puede hacer que un sitio web no se pueda falsificar.

El phishing es un ataque a la comprensión humana, no a su sitio web. Al agregar imágenes, EV SSL, todas estas cosas fallan porque las personas no les prestan atención.

En su libro, "Pensando rápido y lento", Kahneman habla de "WYSIATI" (Lo que ves es todo lo que hay ") como un problema en la percepción humana. Va más allá de la seguridad.

    
respondido por el Adam Shostack 10.11.2015 - 21:47
fuente
0

Creo que por esta razón, el uso de Certificados SSL de Validación Extendida es una buena idea. También con HTTP Strict Transport Security (HSTS) habilitado en los navegadores, podemos proporcionar algo de seguridad. Consulte enlace . Los usuarios, si se dirigen a un sitio original con certificados SSL falsos, serán interrumpidos por el navegador. Si se trata de un sitio web falso, los usuarios deben estar lo suficientemente atentos para revisar el candado en la barra de direcciones. Hay algunos complementos (por ejemplo, CertPatrol, etc.) en Firefox que realizan un seguimiento de las visitas y los certificados y los almacenan localmente y alertas en caso de cambio.

Encontré estos Acortadores de URL una amenaza que no te da una idea antes de que se expandan a la URL real. También ver los encabezados de los correos electrónicos puede dar alguna pista sobre los correos electrónicos de suplantación de identidad (phishing).

Recientemente me he topado con algunas afirmaciones sobre los firewalls de aplicaciones web que evitan que alguien pueda raspar el sitio. Sin embargo, la forma más efectiva de educar a los Usuarios y la conciencia sobre el phishing es la metodología de ataque de ingeniería social que cambia rápidamente.     

respondido por el Krishna Pandey 10.11.2015 - 17:56
fuente
0

Hacer que el phishing no sea útil

La única forma razonable de protegerse de las amenazas de phishing es asumir que un atacante determinado podrá obtener el conjunto inicial de credenciales de algunos de sus usuarios a través del phishing, y asegurarse de que esto sea así. No es suficiente para proporcionar un beneficio que valga la pena para el atacante. Si elimina los incentivos para los atacantes, no solo mitigará su daño en caso de un ataque exitoso, sino que también reducirá en gran medida la posibilidad de ataques, ya que los atacantes serios generalmente elegirán otros objetivos.

Un ejemplo común utilizado en la banca es un uso cuidadoso de tokens de autenticación de dos factores. Si un usuario entrega sus credenciales y el código desde el token a un sitio de phishing, esto puede ser suficiente para iniciar sesión de inmediato, pero no lo suficiente para asumir la cuenta posteriormente o, por ejemplo, aprobar una transacción, lo que requeriría obtenga un código adicional del usuario real en ese momento.

Se puede lograr una funcionalidad similar incluso con hojas de papel pre-enviadas por correo de baja tecnología con códigos de desafío-respuesta de un solo uso.

En este caso, un ataque exitoso debe realizar un ataque MITM en tiempo real, solicitando (y obteniendo) el código apropiado del usuario al mismo tiempo mientras su sistema realiza una transacción en un sitio web real. Esto aumenta la competencia requerida y disuade a algunos atacantes, y también los hace más fáciles de detectar ya que, a diferencia del phishing normal, la explotación real debe estar ocurriendo mientras se ejecuta la campaña de phishing en lugar de permitir que el atacante reúna una gran cantidad de credenciales en silencio.

    
respondido por el Peteris 10.11.2015 - 22:23
fuente

Lea otras preguntas en las etiquetas

Contraseña y nombre de usuario utilizados para conectarse a la base de datos en el código fuente [duplicado] ¿Puede ocurrir un ataque de inyección SQL si la entrada solo puede tener caracteres hexadecimales?