有哪些有效的方法可以防止有针对性的网络钓鱼?

信息安全 网络钓鱼
2021-08-15 07:31:10

网络钓鱼是我们面临的一个非常严重的问题。受欢迎的银行通常是最大的目标。银行网站可以使用哪些方法来保护自己免受网络钓鱼攻击?人们应该使用哪些安全系统来保护自己?为什么这些方法有效?

4个回答

我假设银行想要保护其客户免受网络钓鱼。(不是它的员工;这是一个不同的问题,如果你想知道这一点,你应该在另一个问题中单独询问那个人。)

银行应该采取几个步骤:

  • 避免通过电子邮件发送指向该网站的链接。去打击营销团队,让他们停止这样做。

  • 不要过分依赖密码。也使用机器身份验证。例如,您可能会使用安全持久 cookie、Flash cookie 或用户浏览器和机器的某种指纹。密码本质上对网络钓鱼是不安全的。机器注册的优点是它使用用户不知道的秘密对用户的浏览器进行身份验证。如果用户不知道这个秘密,用户就不能被欺骗而泄露它。机器认证和密码相结合,机器认证完成了大部分的认证工作,而密码只是使人们能够区分用户和他们的室友/配偶/孩子/等。

    • 当用户从新计算机登录时,不要依赖质询问题来验证用户身份。研究表明,网络钓鱼网站可以捕获挑战问题的答案,就像它们捕获密码一样。考虑注册新机器的其他方法,例如基于电子邮件的身份验证。

  • 使用后端欺诈检测方法,检测被盗密码的恶意使用。您可以查看这是否是用户之前执行过的一种交易,对他们之前交易过的收款人,金额是否大,用户 IP 地址和地理位置以及浏览器指纹是否看起来像以前见过,以及许多其他统计措施。

  • 参与反钓鱼工作组。努力快速关闭网络钓鱼网站。支持在用户浏览器中使用钓鱼黑名单。如果用户使用的浏览器太旧以至于不支持网络钓鱼黑名单,请向用户发送一条消息,鼓励他们升级浏览器,并为他们提供升级浏览器的简单链接。

    • 参与反欺诈工作组,向银行界施压,要求关闭助长在线犯罪的全球银行。最近的一项研究发现,只有 3 家银行将 95% 的垃圾邮件货币化;如果这 3 家银行被关闭或打击垃圾邮件发送者,我们可能会看到垃圾邮件的大幅减少。有理由相信,类似的现象也可能适用于地下经济的其他要素。降低网络犯罪的利润将有利于全面的银行安全(不仅仅是网络钓鱼),这是一个很有前途的角度。

  • 对整个站点和您的整个在线状态使用站点范围的 SSL。购买 EV 证书。这为用户提供了额外的提示(绿光),可以帮助一些警报用户在他们受到攻击时注意到。

  • 启用严格传输安全 (HSTS)。这告诉浏览器仅通过 HTTPS 连接到您。贝宝使用它。你也应该。最新版本的 Firefox 和 Chrome 支持它。

  • 不要在您的页面上放置挂锁图标(例如,放置在登录表单旁边),或者在您的页面内容中以其他方式欺骗 chrome 元素。当您这样做时,您正在以一种使网络钓鱼攻击更容易的方式培训用户。

  • 对发送给客户的所有电子邮件进行数字签名。有理由相信大多数客户都有可以检查这些签名的软件,并且这些签名不会对不检查签名的软件造成问题。(感谢@AviD 的建议。)

  • 不要在企业的任何地方使用 SSN 进行身份验证。降低网络钓鱼者窃取 SSN 和其他个人信息的价值。

这就是我要做的:

  • 有一个安全人员团队,以确保所有软件都是最新的/修补和正确配置(这个团队的规模取决于组织的规模)
  • 除非他们需要,否则不允许任何员工访问任何远程危险的东西
  • 对于那些确实需要访问权限的员工,请考虑他们到底需要什么(例如:在银行,不允许低级别员工进行涉及大量资金的交易)
  • 不要让任何有技术挑战的人访问。如果必须,解雇或培训现有员工
  • 如果像您的首席执行官/执行官这样重要的人受到挑战,请不要让他访问网络 - 让他的所有行动都通过了解基本安全的人进行
  • 保留网络上每个重要事件的良好日志,这将有助于在成功的攻击发生后尽量减少损失

在对员工进行安全培训方面,仅仅要求他们阅读白皮书是不够的。您需要真正教他们黑客如何访问网络的基础知识,如果他们不学习或无法学习,那么您应该解雇他们,或者取消他们对任何需要安全性的访问权限。

网络钓鱼的解决方案是最基本的:使用强相互身份验证。单方面认证的 SSL 上的明文密码不提供此功能。从本质上讲,网络钓鱼分离了两个身份验证步骤,从而破坏了相互身份验证。

一个简单的改进可以是使用 PAKE 协议(例如 SRP)的基于密码的安全身份验证。

另一个解决大多数基于社会工程的攻击的改进是使用多因素身份验证:您可以打电话给某人并说服他们向他们提供您的秘密,但尝试告诉他们也向他们发送他们的 USB 令牌。这要困难得多,它不能很好地扩展,并且由于与受害者的身体互动而风险更大。社会工程学也更难,因为它不是受害者的简单自发行动,从你的钥匙链中删除该令牌并将其发送到某个地方感觉非常错误。

剩下的就是人们试图窃取个人数据和信用卡信息。这里需要的是客户端正确的身份识别器(“这个网站是 bank.com”)、安全的支付系统和最重要的常识。

那么,为什么没有人这样做呢?人们说成本和可用性是问题所在。但大多数金融机构现在注意到需要多因素,尽管他们倾向于部署不兼容且往往易受攻击的解决方案。网络人群也终于注意到密码不能很好地扩展,所以现在我们有了密码管理器和联邦 ID。第一个具有与适当的基于智能卡的解决方案相当相似的限制,而第二个仍然容易受到攻击。问题是,人们不喜欢 PKI。它太复杂了,太陌生了,尽管现在 IE 和 Firefox 已经有了很好的支持。我们需要像 Skype 和 Jabber 这样的系统,其中 PKI 在后台静默引导,授权基本上是通过密钥连续性管理完成的。并用 SPKI 替换 X509,以减少程序和实现错误。

真的,最好的防御是意识训练——它有一些效果,但绝不是万无一失的。两个大问题是:

1 - 最终用户忘记了他们的教学,仍然点击链接

2 - 一些银行仍有营销团队发送带有链接的电子邮件

较大的全球银行非常擅长网络钓鱼网站的删除,因此至少这迫使攻击者使用更多的努力来消除网络钓鱼攻击。

查看有关网络钓鱼的上一个问题以获取更多信息。

更新有针对性的网络钓鱼或鱼叉式钓鱼对于攻击者来说是一种非常成功的策略,因为他们将电子邮件个性化到大多数人认为它们来自可信赖来源的程度。目前所涉及的努力意味着受到攻击的仍然是价值更高的目标,但是最近的 PSN 黑客攻击等攻击为攻击者提供了有用的信息来大规模实施这种攻击。

其它你可能感兴趣的问题
上一篇密码真的应该是随机的吗? 下一篇有人拥有我的 IP 地址并威胁要查找和泄露我的个人信息