Contramedidas técnicas contra la pesca con redes contra los ataques pesqueros
El defecto obvio es que la interfaz de usuario (UI) segura del navegador es insuficiente para hacer frente a las poderosas amenazas actuales. La autenticación de seguridad mediante TLS y certificados tiene tres partes: mostrar que la conexión está en modo autorizado, mostrar a qué sitio se está conectando el usuario y mostrar que la autoridad dice que efectivamente es este sitio. Los tres deben estar preparados para la autorización y deben enviarse al usuario para su confirmación.
Conexiones seguras: El estándar para la navegación segura desde mediados de los 90 hasta mediados de los 2000 era un candado, que los usuarios pasaban fácilmente por alto. Mozilla introdujo una barra de URL amarilla en 2005 para facilitar la identificación de las conexiones seguras. Desafortunadamente, esta invención fue revocada posteriormente debido a los certificados EV: en su lugar, se muestra en verde para algunos certificados de alto precio y en azul para otros (traducción: Mozilla Firefox Edition se muestra en azul para los sitios de navegación segura sin certificados EV).
Qué sitio: los usuarios deben asegurarse de que el nombre de dominio en la barra de direcciones del navegador sea realmente el lugar al que desean ir. La dirección del sitio web puede ser demasiado compleja para analizarla sintácticamente fácilmente. Los usuarios a menudo no saben o no pueden identificar la URL correcta a la que desean vincular, por lo que no tiene sentido identificar la autenticidad. La condición para una autenticación significativa del servidor es hacer que el código de identificación del servidor sea significativo para los usuarios; sin embargo, muchos sitios web de comercio electrónico han cambiado sus nombres de dominio y se han convertido en uno de sus portafolios generales de sitios web (ejemplos extremos: departamento A de venta minorista de cosméticos, departamento B de grandes almacenes; , empresa de marketing C. La estructura del nombre de subdominio de la estación de televisión), lo que aumenta la probabilidad de confusión. Sin embargo, para algunas barras de herramientas antiphishing, no basta con mostrar los nombres de dominio de los sitios web visitados.
Otra opción es el complemento Petname de Firefox, que permite a los usuarios escribir sus propias etiquetas de sitios web para poder reconocerlas cuando visiten el sitio nuevamente en el futuro. Si no se reconoce el sitio web, el software advertirá al usuario o bloqueará el sitio web por completo. Esto significa Gestión de identidad del servidor centrada en el usuario. Se ha sugerido que una imagen elegida por el usuario sería mejor que el nombre de una mascota.
Con la aparición de los certificados EV, los navegadores generalmente mostrarán el nombre de la organización en letras blancas sobre un fondo verde, lo que facilitará a los usuarios identificar y cumplir con sus expectativas. Desafortunadamente, los proveedores de navegadores han optado por limitar los certificados EV a una visualización exclusiva, dejando otros certificados al usuario.
Quién es la organización de gestión: el navegador debe indicar quién es la organización de gestión del objeto solicitado por el usuario. En el nivel de seguridad más bajo, el órgano rector no se nombra, por lo que, en lo que respecta al usuario, el navegador es el órgano rector. Los proveedores de navegadores asumen esta responsabilidad controlando la lista raíz de autoridades de certificación (CA) aceptables. Esta es ahora una práctica estándar.
El problema aquí es que no importa cuánto intenten los proveedores de navegadores controlar la calidad, la calidad de las CA en el mercado varía y no hay inspección. No todas las empresas que firman CA obtienen certificados solo para certificar organizaciones de comercio electrónico con el mismo modelo y concepto. Certificate Manufacturing es un certificado de transacciones bajas que se utiliza únicamente para la entrega con tarjeta de crédito y la confirmación de entrega por correo electrónico. Los estafadores pueden distorsionar fácilmente ambos usos. Desde este punto de vista, un sitio web con un alto volumen de transacciones puede confundirse fácilmente con otra certificación de CA. Esta situación puede deberse a que la CA esté ubicada al otro lado del mundo y no esté familiarizada con los sitios de comercio electrónico de alto tráfico, o al usuario simplemente no le importe. Dado que las CA solo son responsables de proteger a sus propios clientes y no a otros clientes de CA, esta vulnerabilidad está profundamente arraigada en el modelo.
La solución para esta vulnerabilidad es que los navegadores deben mostrar y los usuarios deben estar familiarizados con el nombre de la organización administrativa. Esto trata a la CA como un reflejo de la marca y permite a los usuarios saber con cuántas CA pueden contactar dentro de su país. El uso de la marca también es muy importante para que los proveedores de CA los estimulen a mejorar la auditoría de los certificados: porque los usuarios serán conscientes de la diferencia de marca y requerirán que los sitios de gran volumen sean verificados en GAI.
Esta solución se implementó por primera vez en las primeras versiones de IE7.
Cuando muestre el certificado EV, la CA emisora se mostrará en el área de URL. Sin embargo, este es sólo un caso aislado. Todavía hay resistencia por parte de la CA a marcar el panel del navegador, lo que da como resultado sólo el nivel de seguridad más bajo y simple mencionado anteriormente: el navegador es la autoridad de gestión de los asuntos del usuario.
Actualmente, el certificado SSL de más alto nivel se utiliza internacionalmente para prevenir eficazmente ataques de phishing. Global Trusted CA (GlobalSign) emite un certificado EVSSL para el sitio web, activa la barra de direcciones verde del navegador, implementa un cifrado de seguridad de 256 bits, lo que garantiza que la comunicación entre el cliente y el sitio web no sea escuchada y muestra la identidad de manera destacada. del propio sitio web después de la certificación. Los experimentos para mejorar las interfaces de usuario de seguridad brindan comodidad a los usuarios pero también exponen fallas fundamentales en el modelo de seguridad. Hay muchas causas fundamentales para el fallo de la autenticación SSL utilizada en la navegación segura en el pasado, y están entrecruzadas.
Seguridad antes que las amenazas: debido a que la navegación segura se produce antes de que aparezca cualquier amenaza, la seguridad se sacrificó en las "guerras inmobiliarias" de los primeros navegadores. El diseño original de Netscape Browser tenía un nombre de sitio web destacado y su nombre de CA. Los usuarios ahora suelen estar acostumbrados a no comprobar la información de seguridad en absoluto. Otra forma popular de combatir el phishing es mantener una lista de sitios web de phishing conocidos y mantenerla actualizada. El navegador IE7 de Microsoft, Mozilla Firefox 2.0 y Opera incluyen este tipo de medidas antiphishing. Utilice el software antiphishing de Google en Firefox 2. Opera 9.1 utiliza listas negras de PhishTank y GeoTrust, y listas blancas listas para usar de GeoTrust. Algunas implementaciones de software de este método envían los sitios web visitados a un servidor central para su inspección, lo que genera preocupaciones sobre la privacidad personal. Según un informe de finales de 2006 de la Fundación Mozilla, que cita una investigación de una empresa independiente de pruebas de software, se consideraba que Firefox 2 era más eficaz que Internet Explorer 7 para detectar sitios web fraudulentos.
A mediados de 2006, se inició e implementó un enfoque. Este método implica cambiar a un servicio DNS especial y filtrar los dominios de phishing conocidos: esto será compatible con cualquier navegador y utiliza un principio similar al uso de archivos hosts para bloquear anuncios en línea.
Para mitigar el problema de los sitios web de phishing que se hacen pasar por ellos mismos mediante la incorporación de imágenes (como marcas comerciales) del sitio web de la víctima, algunos propietarios de sitios web modifican las imágenes para enviar un mensaje a los visitantes de que un sitio web puede ser engañoso. La imagen puede moverse a un nuevo nombre de archivo, reemplazando permanentemente el nombre de archivo original, o puede que no se solicite una imagen que el servidor pueda detectar en condiciones normales de navegación, y luego se puede enviar una imagen de advertencia. El sitio web de Bank of America es uno de muchos que requiere que los usuarios seleccionen una imagen personal y muestra la imagen seleccionada por el usuario cada vez que se requiere una contraseña. A los usuarios de los servicios online del banco sólo se les pedirá que introduzcan su contraseña cuando se les presente una imagen de su elección. Sin embargo, un estudio reciente demostró que sólo un pequeño número de usuarios no escriben sus contraseñas cuando la imagen no aparece. Además, esta característica (al igual que otras formas de autenticación de dos factores) es vulnerable a otros ataques, como el caso del Nordia Bank en Escandinavia a finales de 2005 y el caso de Citibank en 2006.
Secure Shell es una técnica relacionada que implica superponer un formulario de registro con una imagen seleccionada por el usuario como una señal visual que muestra si el formulario es legítimo. Sin embargo, a diferencia de los sistemas de imágenes basados en sitios web, las imágenes en sí sólo se comparten entre el usuario y el navegador, no entre el usuario y el sitio web. El sistema también se basa en un protocolo de autenticación mutua, lo que lo hace menos vulnerable a ataques de sistemas que solo autentican a los usuarios. 65438+El 26 de junio de 2004, la Comisión Federal de Comercio de Estados Unidos presentó su primera demanda contra pescadores sospechosos de pescar con redes. El acusado es un adolescente de California, Estados Unidos. Se dice que diseñó y construyó una página web que parecía un sitio web de America Online y la usó para robar datos de tarjetas de crédito. Otros países han citado este precedente para rastrear y arrestar a los phishers. Baldir Paulo di Almeida, pescador de redes grandes, fue arrestado en Brasil. Lidera una de las bandas criminales más grandes dedicadas al phishing y se estima que ha robado entre 180.000 y 37 millones de dólares en dos años. En junio de 2005, las autoridades británicas detuvieron a dos hombres en relación con una estafa de phishing vinculada a la Operación Firewall del Servicio Secreto de Estados Unidos, que tenía como objetivo lo que entonces era el sitio web de robo de tarjetas de crédito más grande y notorio.
En 2006, ocho personas fueron arrestadas en Japón. La policía japonesa sospechó que habían cometido fraude al hacerse pasar por sitios web de Yahoo Japón y fueron puestas en libertad bajo fianza con una compensación de 654.380 millones de yenes (870.000 dólares). En 2006, el FBI arrestó a una pandilla de 16 miembros con el nombre en código "The Cardholders" en Estados Unidos y Europa.
En Estados Unidos, el senador Patrick Leahy presentó la Ley Anti-Phishing de 2005 al Congreso estadounidense el 6 de marzo de 2005. Si este proyecto de ley se convierte en ley, los delincuentes que creen sitios web falsos y envíen correos electrónicos falsos para defraudar a los consumidores serán multados con hasta 250.000 dólares y encarcelados hasta por 5 años. En 2006, el Reino Unido reforzó sus armas legales contra el fraude por falsificación a través de la Ley de Fraude de 2006, que introdujo un delito general de fraude, punible con hasta 65.438+00 años de prisión, y prohibió el desarrollo o posesión de software de phishing con la intención de defraudar. Bolsa.
Muchas empresas también se han sumado a la lucha contra la captura de redes. El 31 de marzo de 2005, Microsoft presentó una demanda 117 en el Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Washington. La demanda acusa a los demandados, Anonymous, de obtener ilegalmente contraseñas e información confidencial. En marzo de 2005, Microsoft se asoció con el gobierno australiano para enseñar a los agentes del orden cómo combatir diversos delitos cibernéticos, incluido el phishing. En marzo de 2006, Microsoft anunció planes de procesar más de 65.438.000 casos adicionales fuera de los Estados Unidos. Posteriormente, la empresa cumplió su promesa y, a finales de junio de 2006, * * * había procesado 65.438+029 casos penales en una combinación de acciones penales y civiles. AOL también ha intensificado sus esfuerzos para combatir el phishing. A principios de 2006, Earthlink procesó tres casos solicitando 65.438+08 millones de dólares en daños y perjuicios en virtud de la Ley de Delitos Informáticos de Virginia, modificada en 2005. Earthlink también participó en la identificación de seis hombres de Connecticut que luego fueron acusados del delito de. fraude de phishing.
El 5 de junio de 2007 y octubre de 2007, Jeffrey Brett Gauting fue condenado por el jurado en virtud de la Ley CAN-SPAM de 2003, convirtiéndose en el primer acusado en California en ser condenado en virtud de esta ley. Fue declarado culpable de enviar miles de correos electrónicos a usuarios de AOL y de hacerse pasar por el departamento de contabilidad de AOL, instando a los clientes a enviar datos personales y de tarjetas de crédito. Fue sentenciado a 70 meses de prisión y 101 años de prisión bajo leyes antispam y docenas de otros cargos que incluyen fraude, uso no autorizado de tarjetas de crédito y uso indebido de AOL. Después de no asistir a una audiencia anterior, Gao Ting fue detenido e inmediatamente comenzó a cumplir su sentencia en prisión.