Làm thế nào để bạn chống lại giả mạo trang web/lừa đảo?

Question

Giải pháp được đề xuất của bạn về mối đe dọa giả mạo giao diện người dùng trên trang web là gì?

Answer 1

Chìa khóa cho vấn đề này là xác định một số khác biệt giữa yêu cầu đến trang web thực và yêu cầu đến trang web giả mạo.

Sự khác biệt đơn giản nhất là một số tùy chọn giao diện người dùng dựa trên cookie. Một tập hợp cookie trên trang web (thực) của bạn sẽ chỉ được đưa trở lại trang web của bạn và sẽ không bao giờ được gửi đến trang web giả mạo.

Hiện có nhiều lý do khiến cookie hợp lệ không được gửi đến trang web của bạn, người dùng có thể đang sử dụng máy tính khác hoặc có thể đã hết hạn/xóa cookie, nhưng ít nhất bạn có thể đảm bảo rằng được gửi đến trang web giả mạo.

Answer 2

Một giải pháp là tùy chỉnh trang web cho mỗi người dùng. Giả mạo chỉ hoạt động khi người dùng về cơ bản có cùng quan điểm của trang web (một giả mạo - nhiều nạn nhân). Vì vậy, nếu, ví dụ, eBay sẽ cho phép bạn cấu hình một màu nền tùy chỉnh, bạn sẽ có thể nhận thấy rằng trang bạn đang xem là một số giả mạo (mà sẽ không biết sự lựa chọn của bạn về màu sắc). Một giải pháp thực sự phức tạp hơn một chút (giống như một từ khóa bí mật được cấu hình trong trình duyệt mà chỉ trình duyệt có thể hiển thị trong các điều khiển mật khẩu hoặc vào thanh url, v.v.), nhưng ý tưởng là như nhau.

Tùy chỉnh giao diện người dùng cho mỗi người dùng để giả mạo (dựa vào hầu hết người dùng mong đợi để xem về cơ bản cùng một giao diện người dùng) ngừng hoạt động. Nó có thể là một giải pháp dựa trên trình duyệt, hoặc một số trang web cung cấp cho người dùng của họ (một số đã làm).

Answer 3

Tôi đã xem một số trang web cho phép bạn chọn biểu tượng "cá nhân". Bất cứ khi nào bạn đăng nhập, biểu tượng đó được hiển thị dưới dạng bằng chứng cho thấy bạn đang ở trên trang web của họ.

Answer 4

• Bạn có thể đặt câu hỏi khi người dùng đăng nhập (câu hỏi mà người dùng đã viết câu trả lời).

• Bạn có thể hiển thị ảnh sau nhật ký mà người dùng đã tải lên, nếu người dùng không nhìn thấy ảnh của anh ấy (riêng tư mà chỉ anh ấy có thể xem) chứ không phải là trang web thực.

Answer 5

Theo định nghĩa bất kỳ giải pháp dựa trên các trang web hiển thị cho bạn các thông tin cá nhân khi bạn đã đăng nhập là không hiệu quả chống lại những kẻ lừa đảo. Nếu bạn đã cố gắng đăng nhập, họ đã thành công!

FWIW, tôi chưa biết câu trả lời thực sự, có thể câu hỏi này sẽ đưa ra một số ý tưởng hay. Tuy nhiên, tôi chuyên nghiệp tham gia vào nghiên cứu về lừa đảo, đăng ký tên miền xấu, v.v.

Tôi không tin rằng có bất kỳ giải pháp kỹ thuật quan trọng nào mà nhà phát triển trang web có thể triển khai. Một lần nữa, theo định nghĩa, nếu người dùng của bạn đến trang web lừa đảo, bạn không còn kiểm soát được nữa.

Đây là lý do tại sao tất cả các công nghệ chống lừa đảo hiện tại nằm trong trình duyệt và không nằm trong trang web bị lừa đảo.

Answer 6

Tôi nghĩ câu trả lời duy nhất ở đây là lập trình cho những người tốt hơn.

Làm những việc như tùy chỉnh giao diện hoặc tải lên hình ảnh chỉ hoạt động nếu người dùng trong câu hỏi thực sự nhận ra khi những điều này sai. Tôi nghĩ rằng phần lớn người dùng sẽ không bao giờ nhận ra những điều này ngoại trừ các trang web họ truy cập nhiều. Ngay cả khi họ đã làm họ có thể thuộc tính nó cho một sự thay đổi trong thiết kế trang web và không phải là một phish.