Phishing是我们面临的一个非常严重的问题。但是,银行是最大的目标。银行可以使用哪些方法来保护自己免受网络钓鱼攻击?应该用什么方法来保护自己。为什么它会阻止攻击?
答案 0 :(得分:8)
网络钓鱼通常通过将消费者引导到网站的抽取版本来实现。一种开始变得更常见的方法是动态网站,在输入用户名之后和输入密码之前,银行网站会显示消费者选择的一些图像或短语,我将其称为计数器密码。实质上,不仅消费者必须提供有效的密码,银行也是如此。相互认证。
网上诱骗网站无法在不查询银行的情况下显示正确的反密码,这使银行有机会检测,混淆和起诉代理。
这可以通过使用带外通信信道来增强。如果发出请求的IP地址(可能是代理,可能通过洋葱路由)不是消费者之前登录过的,则向消费者发送一条带有一次性代码的短信,他们必须在对方之前另外使用密码显示并启用登录。
其他方法是让浏览器缓存正确的服务器证书,并在访问没有缓存证书的站点时告诉消费者,从而警告消费者这不是他们以前使用的熟悉站点。
答案 1 :(得分:3)
IMO,银行可以做的最好的事情就是教育用户了解他们何时以及如何与他们沟通。许多用户不知道网络钓鱼是什么,因此向他们展示示例并提高他们对欺诈的认识将比任何技术解决方案做得更多(尽管技术方面应该同样积极地进行)。用户意识到可能发生网络钓鱼将不太可能成为它的牺牲品。
答案 2 :(得分:2)
使用EV SSL证书,然后在登录页面上放置一条消息,告知用户在浏览器中查找EV签名。
在您的电子邮件中明确说明您的银行永远不会要求用户提供密码。设置专门用于网络钓鱼的特殊电子邮件,以便客户向您发送可疑电子邮件,然后您可以通知客户。
答案 3 :(得分:1)
防止网络钓鱼攻击的最佳方法应该依赖于不需要用户理解问题的技术手段。目标受众总是足够大,可以找到被愚弄的人。
防止攻击的一种好方法是使用身份验证机制,它不依赖于攻击者可以窃取的简单密码或事务身份验证号码(TAN)。
现有方法,例如使用动态TAN(索引TAN或iTAN),或通过SMS(移动TAN或mTAN)在单独的频道上提交的TAN,或者 - 最安全且防止实时操作中间攻击 - 要求用户签署每个交易,例如使用DigiPass或智能卡。
这一点没有得到广泛实施的原因可能是银行支付网络钓鱼攻击造成的损失比投资安全更具成本效益。
答案 4 :(得分:1)
从银行角度来缓解这种情况的最简单方法是在创建帐户时教育客户(a)银行不拥有客户的电子邮件地址,因此只需不能向他们发送邮件,并且(b)向每位现有客户发送一封信,并解释相同的信息。
对于客户而言,这样做的好处是,他们会知道,只要他们收到声称来自银行的邮件,就不会是真实的。
答案 5 :(得分:1)
我建议根据攻击类型分析网上银行欺诈:被盗凭证,中间人和恶意软件/浏览器人以及身份验证如何阻止他们:会话的双因素身份验证,相互身份验证,以防止MitB的MITM和事务身份验证。我在2006年写了一篇关于此问题的文章:http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1我写了一篇关于互https身份验证的文档教程:http://www.howtoforge.com/prevent_phishing_with_mutual_authentication。 EV证书几乎没有额外的价值,原因与标准ssl价值不大的原因相同:没有人知道如何验证证书,并且UI不可信任。使用图像是没有价值的,并且会产生非常烦人的用户体验。
虽然SMS优于静态密码,但您依赖于细胞运营商的安全性。但是,由于他们拥有如此多的用户并且提高了系统的安全性意味着更多的服务台呼叫,激励措施并不一致。此外,请参考最新的snafu与iPad电子邮件地址,甚至没有遵循基本的安全原则。
银行需要认真考虑设计系统和/或使用基于可靠安全原理的架构的供应商,并遵循标准加密技术,而不是以满足最低合规标准为目标进行市场营销。