- Indique a mis usuarios que no confíen en los correos electrónicos que piden contraseñas, etc.
Es un buen movimiento. Puede reforzar este mensaje nunca enviando ningún tipo de correo electrónico que contenga enlaces. La única dificultad es que muchos clientes de correo electrónico convertirán automáticamente cadenas que parecen direcciones web a enlaces en los que se puede hacer clic. Puede reiterar que los usuarios deben escribir la dirección en su navegador para acceder a su sitio y no deben hacer clic en el enlace.
- Compre todos los dominios similares a los míos (caros y difíciles)
¿Realmente no hay nada más que pueda hacer?
El artículo de Wikipedia contiene una sección en Defensa contra el ataque . Estos son todos basados en el navegador. Podría alentar a los usuarios a usar solo los navegadores que protegen contra los IDN. Por ejemplo, el enfoque de Chrome es:
Google Chrome muestra un IDN solo si todos sus caracteres pertenecen a uno (y solo a uno) de los idiomas preferidos del usuario.
La autenticación de dos factores puede proteger contra el riesgo de que un atacante robe con éxito un nombre de usuario y contraseña y luego los use para iniciar sesión por sí mismo. Sin embargo, si el usuario cree que se ha autenticado con éxito en su sitio, esto no hace nada para mitigar el riesgo de que el usuario divulgue más detalles en su sesión iniciada con el sitio del atacante. Además, un atacante puede hacer que su sitio de phishing solicite el segundo factor de autenticación y simplemente ingresarlos en el sitio original cuando el usuario ingresa en el sitio de phishing (siempre que el atacante realice phishing en tiempo real en lugar de consultar sus registros del servidor en un tiempo posterior).
El pedir solo ciertas letras de la contraseña también se puede eludir fácilmente. Los sitios de phishing generalmente solo dirán que las dos letras ingresadas fueron incorrectas y luego pedirán otras dos hasta que se descubra la contraseña completa. Además, esto significa que no puede guardar el hash de contraseña, y los administradores de contraseñas generalmente tienen problemas para rellenar campos dinámicos como estos.
Otra solución para mitigar el phishing en general es fomentar el uso de administradores de contraseñas basados en el navegador. Estos comprueban que la URL coincida con la almacenada en el administrador de contraseñas, por lo que no completará la contraseña si hay algún ataque de homógrafo en curso.