Die Rede von der Internetstadt heute ist die SNAFU, die dazu führte, dass Dutzende Facebook-Nutzer von der Google-Suche zu einem Artikel in ReadWriteWeb über den Facebook-AOL-Deal geführt wurden. Was im Kommentarschritt geschehen ist, wird schnell zum Zeug der Internet-Legende.
Hinter der Heiterkeit steht jedoch die beängstigende Tatsache, dass Nutzer auf diese Weise zu allen Websites, einschließlich ihrer Bank- und anderen wichtigen Websites, navigieren können. Eine schnelle Suche nach "my bank website login" und schnell auf das erste Ergebnis klicken. Sobald sie dort sind, ist der Benutzer bereit, seine Anmeldeinformationen zu übermitteln, obwohl die Website der Website, die sie zu erreichen versucht, nicht ähnelt. (Dies wird durch die Tatsache belegt, dass Benutzerkommentare über facebook-connect mit ihren Facebook-Accounts verbunden sind)
Die Verhinderung dieses Szenarios liegt außerhalb unserer Kontrolle und die Aufklärung unserer Benutzer über die Grundlagen des Surfens im Internet ist genauso unmöglich. Wie können wir sicherstellen, dass die Benutzer wissen, dass sie sich auf der richtigen Website befinden, bevor sie sich anmelden? Ist etwas wie SiteKey der Bank of America ausreichend, oder ist das ein anderer Cop-out, der die Verantwortung zurücklöst? auf den Benutzer?
Der Internet- und der Webbrowser hatten einige coole Funktionen, die dort möglicherweise eine gewisse Anwendbarkeit haben.
Man nannte etwas "Domain-Namen". Anstatt den Namen der Website auf der rechten Seite der Symbolleiste einzugeben, gab es auf der linken Seite ein weiteres, größeres Textfeld, in das Sie es eingeben konnten. Anstatt eine proprietäre Google-Datenbank zu durchsuchen, die auf riesigen Farmen von Magic 8-Balls läuft, suchte dieses geheimnisvolle "Adressfeld" nach einer autorisierenden Registrierung von "Domain-Namen" und führte Sie jedes Mal zur richtigen Seite. Leider musst du manchmal bis zu 8 zusätzliche Charaktere eingeben! Diese Last war zu viel für die meisten Benutzer zu schultern, und diese umständliche Eigenschaft wurde aufgegeben.
Eine andere Sache, die Sie in Browsern sahen, war etwas, das als "Lesezeichen" bezeichnet wurde. Etymologen versuchen immer noch herauszufinden, woher der Begriff "Lesezeichen" stammt. Sie vermuten, dass es etwas mit Papier mit lustigen Kringeln zu tun hat. Wie auch immer, diese Lesezeichen erlaubten es den Benutzern, eine Schaltfläche zu erstellen, die sie direkt zu der gewünschten Website führen würde. Natürlich war das Erstellen eines Lesezeichens ein langwieriger, einschüchternder Prozess, der manchmal bis zu zwei Menü-Klicks erforderte - oder schlimmer noch, die Verwendung der Strg-Taste!
Ah, die Wunder der Alten.
Die Seite könnte sich selbst "personalisieren", indem sie einige persönliche Informationen zeigt, leicht erkennbar für den Benutzer, auf jeder Seite. Es gibt viele Möglichkeiten, es zu implementieren. Das offensichtliche: Beim ersten Besuch benötigt die Seite einen Benutzer, um einen Avatar hochzuladen, und fügt den Cookies die ID des Benutzers hinzu. Danach jedes Mal, wenn der Benutzer durchsucht Auf der Website wird der Avatar angezeigt.
Als ich mein Online-Bankkonto eingerichtet habe, hat es mich gebeten, aus einer Auswahl von Bildern zu wählen. Das Bild, das ich gewählt habe, wird mir jetzt jedes Mal angezeigt, wenn ich mich anmelde. Dies versichert mir, dass ich auf der richtigen Website bin.
EDIT: Ich habe gerade den Link über den BoA SiteKey gelesen, das ist anscheinend das Gleiche (er klang wie ein Challenge-Response-Dongle)
Ich nehme an, die beste Antwort wäre ein Hardware-Gerät, das einen Code von der Bank und vom Benutzer benötigt und beide authentifiziert. Aber jedes dieser Dinge setzt voraus, dass die Leute tatsächlich über das Problem nachdenken, was sie natürlich nicht tun. Dies geschah, bevor das Internet-Banking üblich war - ich hatte eine Freundin, die ihre Brieftasche in den 90ern gestohlen hatte, und die Frau rief sie an, als sei sie ihre Bank und überredete sie, ihre PIN preiszugeben ...
Wenn der Benutzer zum ersten Mal die Seite besucht und sich anmeldet, kann er einige persönliche Informationen (auch etwas sehr triviales) teilen, die betrügerische Seiten nicht wissen könnten - High-School-Maskottchen, erste Straße lebt weiter, etc.
Wenn es jemals eine Frage der Site-Authentizität gibt, kann die Site diese Informationen an den Benutzer zurückgeben.
Wie in Fernsehshows / Filmen mit dem bösen Zwilling. Der gute Zwilling gewinnt immer das Vertrauen, indem er ein Geheimnis teilt, dass nur die Person, die versucht herauszufinden, wer der gute Zwilling ist, es wissen würde.
Sie können Phishing nicht per se verhindern, aber Sie können mehrere Schritte ausführen, von denen jeder ein wenig zur Milderung des Problems beiträgt.
1) Wenn Sie etwas wie einen Site-Key oder ein Anmelde-Siegel haben, stellen Sie bitte sicher, dass diese nicht auf einer bösartigen Website erstellt werden können. Nur Javascript framebusting kann nicht genug sein, da IE security="restricted" hat.
2) Seien Sie sehr konsequent darüber, wie Sie nach Benutzeranmeldeinformationen fragen - bedienen Sie das Anmeldeformular über SSL (nicht nur Post-Back über SSL). Fragen Sie nicht an mehreren Orten oder Websites um Anmeldung. Ermutigen Sie Dritte, die mit auf Ihrer Site gespeicherten Benutzerdaten arbeiten möchten, OAuth zu verwenden (anstatt das Passwort Ihres Benutzers zu verwenden).
3) Sie sollten niemals nach Informationen per E-Mail fragen (mit oder ohne Link).
4) Haben Sie eine Sicherheitsseite, auf der Sie über diese Probleme sprechen.
5) Benachrichtigung über Änderungen an registriertem Telefon, E-Mail usw. senden.
Abgesehen von oben, überwachen Sie Benutzeraccount-Aktivitäten - wie Änderungen an Kontaktinformationen, Sicherheit Q & amp; A, Zugriff, usw. (Notizzeit, IP, und es gibt einige subtile Techniken).