Ochráňte svoj web pred phishingom
Phishing je založení na podvrhnutí a je v drvivej väčšine spájaný s formulármi. Používateľ vašej stránky je nejakým spôsobom uvedený v omyl a je mu zobrazená stránka alebo jej časť, ktorá nie je vaša. V drvivej väčšine ide o formulár s výzvov na vloženie nejakých údajov alebo na uskutočnenie nejakej akcie (kliknutie).
Zásadným problémom je v prvom rade rozpoznanie podvrhu a preto je to všetko práve a len na používateľovi ako rýchlo podvod odhalí.
My ako majitelia webu mu môžeme napomôcť tipmi ako „dávaj si pozor“, „sleduj žltý zámok“, „takéto veci nikdy nebudeme vyžadovať“. Napriek tomu je dôverčivosť používateľa bezbrehá.
Istá hravejšia forma ochrany by tu však bola.
Odbočím k avatarom: iste ich poznáte – zadáte pri komentovaní svoju adresu a váš komentár na nejakej stránke sa zobrazí aj s nejakým vašim obrázkom.
Urobme to však naopak. U webstránok, kde sa predpoklada prihlásenie je možné naše formuláre ochrániť tak, že ich „personalizujeme“. Neoddeliteľnou súčasťou formulára budú vizuálne prvky, ktoré si zvolil samotný používateľ.
Predstavte si, že sa Vám miesto neosobného formulára, ktorého vzhľad si ani nedokážete zafixovať a preto vás nijako netrkne, keď uvidíte niečo iné, zobrazí vždy pri formulároch s nutnosťou vkladať citlivé dáta aj niečo naviac.
Systém vášho webu si vynúti na začiatku personalizáciu – poprosí Vás o nejakú vašu textovú frázu, obrázok, prípadne Vám vygeneruje Váš vlastný obrázok z galérie (modifikovaný!!!). Tento obrázok bude pevne vkladaný pri poliach na údaje, ktoré majú mať utajený obsah.
To je technicky všetko a teraz musíme používateľa jasne upozorniť – citlivé dáta vkladajte len v prípade, že vidíte „svoj“ prvok vo formulári.
Nie som autorom tejto myšlienky, pred pár dňami som niečo podobné čítal v inej súvislosti a trošku som si to prisvojil (tak mi tu nevypisujte, kde všade ste o tom čítali).
Technické riešenie samozrejme nemám žiadne hotové a najprv chcem na tom nájsť všetky logické chyby ;-)
Pokiaľ by ste to chceli siahodlhejšie prediskutovať, otvorte tému v MassacreBoarde.
Logická chyba v tom nie je. Akurát, ak používatelia ignorujú výzvy, aby nikam a nikdy nezadávali napr: hodnoty svojej grid karty, tak rovnako budú ignorovať aj nutnosť mať pri formulároch zobrazený personalizovaný prvok. Taktiež je dobre možné, že pri častom zobrazovaní(napr: v IB dennodenne) ho prestanú vnímať.
[1] Ako to vystihol rony – „hravejšia forma“. Personalizovany prvok moze byt i uploadnuty obrazok – povedz zenskej, ze si tam moze vrazit trebars robbie williamsa – hned ju taka ochrana zaujme…
[1] nesmies to davat do akehokolvek bezvyznamneho formulara – do tych naozaj podstatnych, kde ti ide o viac ako o par slov, ktore kamsi posles.
[2] ano, kludne aj uploadnuty obrazok, samozrejme plus personalizovany text. Zaroven autor aplikacie musi jasne odlisit dolezite formulare (ako pisem v odpovedi na [1]). Dalsi problem je iba v tom, ako jednoducho zabezpecis, aby ti niekto nepodsunul rovno tvoj personalizovany formular – myslim, ze tam je jadro celeho premyslania nad touto technikou.
No ja osobne by som Robieho prehliadla aj keby išiel oproti mne na ulici, nieže na monitore. Som totiž na úplne ale úplne iné typy. :))
Celý nápad vždy bude krívať na stanu používateľa. Ten nie je schopný rozlíšiť, čo je dôležitý formulár. (Uvažujme napríklad o internetbankingu.) Keď od neho bude „technická obsluha banky“ pýtať heslá, ktoré keď nezadá, tak napríklad mu prepadnú peniaze, tak sa splaší, že si na personalizovanie či obrázky ani nespomenie. Okrem toho phishingove stranky sa vzdy netvaria ako internetbanking, ale simuluju dizajn beznych stranok banky.
[3] yahoo to overi :-)
[4] ok, tak Woody Allena, ale o tomto to nie je :-) a ak uz niekto zada hesla aj na nepersonalizovany login a vie, ze tam ma pouzity personalizovany, tomu uz nepomoze naozaj ziadna techologia :-)
Tatrabanka to riesi moznostou personalizacie po prihlaseni – t.j. zobrazi sa ti namiesto standardneho „Vitame vas v IB“ nieco ako „Nazdar, ty chren, tvoja TB“ ;-)
Viem, ze to je riesenie ex post. Ex ante je take, ako navrhujes ty (tiez som to cital).
[4] Zdielam rovnaký názor. Problém vidím takto:
1. Použitie takéhoto prvku sa predpokladá požadovať na dôležitých stránkach,
2. Dôležité veci obvykle nerobíme často,
3. Zabudneme, ako sme to robili minule,
4. Môže nás niekto oklamať.
A zasa na druhú stranu, ak sa to používa na často používaných stránkach, platí opačný efekt, že ľudia častým používaním prestanú vnímať takéto niečo personalizované ako výnimočnú vec a stráca to účinnosť.
Ak by však takýto personalizovaný prvok bol zároveň aktívny, určite by pôsobil účinnejšie a mohol by byť použitý aj na často používaných formulároch. Aktívny myslím v tom zmysle, že by sa pomocou neho napr. potvrdzoval formulár. Button s vlastnou fotkou :)
[6] Jo toto ex post riesenie ma raz pobavilo. Isty jeden moj znamy si ako tento text zadal: „Prave sme hackli Tatrabaku, vase peniaze su u nas v bezpeci!“. Celkom zabavne, no zabavnejsie to bolo cca o mesiac, ked sa konecne opat dostal k IB, aby uhradil odvody do poistovni. Hned mi volal, ze sa mam prihlasit, ze hackli Tatrabanku. Aj tak sa da :)
[7] (a dalsi), da sa to vylepsit aj dodatocnym potvrdenim svojej fyzickej pricetnosti – zobrazi sa cojaviem 5 roznych obrazkov (abstrahujeme: objektov) a z nich si musim vybrat ten svoj. Tato volba sa musi odosielat s datami a porovnavat. Server odmietne samozrejme nespravnu volbu. Tu je zasa na zamyslenie ako zabranit nakamuflovanie aj TAKEHOTO prvku „zabezpecenia“.
[4] preboha ten prvok je tvoja osobna volba – tvoja preferencia, takze ten objekt musi byt tebe blizsi ako neosobny design stranky. Samozrejme, ked hovorime A, tak to B – aby na tieto objekty pouzivatel nemal navyk a neprestal ich registrovat ako prvok ochrany, ktoreho absencia by mala byt podozriva, tak to uz je vecou zamyslenia sa ako v nom vzbudit pozornost.
utocnik sa snazi ziskat pristupove/autorizacne udaje,pricom zobrazenie personalizovaneho uz prihlasenie predpoklada.utoky sa teda odohravaju pred prihlasenim a vacsinou ako akasi _nestandardna_,ci mimoriadna,viac ci menej zdovodnena, operacia.pouzivatel personalizovane stranky vtedy ani necaka.
[10] ano, to je spravna poznamka. „obrazkovanie“ myslim tak, ze AK si nan navyknem a VNIMAM obrazok ako sucast formulara, tak kamuflovany formular vnimam ako nieco podozrive – pyta to udaje, ku ktorym je pevne naviazany (v mysli alebo inou dostupnou formou) prave personalizovany objekt.
Ja vsak predpokladam aj ine problemy – ze moze dojst v podsuvaniu AJ po prihlaseni. Resp. neobvykle udaje nebudu vyzadovane v prihlaseni (aj ked to bude fake) ale az po zobrazeni stranok a dalsich ukonoch. To je ale momenalne rovine uvah, nie priama odpoved na to, ci to je ucinne hned na „zaciatku“.
Tam by som poznamenal, ze v situacii:
pracujem na pocitaci. vybafne na mna okno „dobry den ,ja som isto iste ten, za koho sa vydavam, vyprsalo vam toto alebo hento, zadajte XY“. Ak podlahnem aj tomuto, tak je naozaj otazka, ako budeme riesit tento stav spolocnosti. Rozmach pharmingu je sposobeny prave dosledkami internetizacie. PRedpokladajme, ze pocitacovo zdatnej populacie je konstanta – iste percento ludi, ktori sa pocitacom venuju viac ako hocikto iny svojej ceruzke. Lenze kvantitativne vyuzivanie internetovych sluzieb stupa. Je jasne, ze sa zhorsuje „gramotnost“ a zvysuje atraktivita pre podvody.
Pred 10 rokmi boli hitom BMG Invest. Dnes nim moze byt pharming.
ano, suhlas. sme len na zaciatku zlatej ery e-odrbavania.isty kvalitativny skok pri bezpecnosti asi bude biometria, ale to tiez len do casu – som skeptik, lebo „na kazdu dieru sa najde zaplata“, aj ked v tomto pripade by sa to asi malo otocit,“na kazdej zaplate sa najde diera“.
hlavne, ze zapad sa snazi zaplavit najchudobnejsiu cast planety notebookmi do sto dolarov. sa stavim, ze ich pouzivatelia sa okrem prezrania wikipedie a navodov ako vykresat ohen budu iste zaoberat aj problemami pocitacovej bezpecnosti, akurat ze z tej druhej strany, kedze pravo je tam u nich abstraktny pojem. este bude veselo.
Aha, proto mě Bank of America nutila si vytvořit jakýsi SiteKey, který se mi následně zobrazuje u přihlašovacího formuláře :-)
Viz. http://www.bankofamerica.com/onlinebanking/index.cfm?template=site_key&state=FL#sitekey
(omluva za velmi pozdní komentář, ale příspěvek jsem našel až nyní ;-)
Tymto oznamujem, ze pre pouzitie mojho napadu na Slovensku je podmienene dohodou a to vylucne a explicitne s mojou osobou.