ユーザーはブラウザのURLバーが偽造されていないことをどのように確認できますか?
ユーザーが 私の母のGmailアカウントがどのようにハッキングされたかがわからない のようなものを防御するには、資格情報を入力する前にURLバーに注意する必要があります。
しかし、それが本当にあなたが見ているブラウザのURLバーであることをどのように確認できますか?
フィッシングサイトは次のようにして疑わしく見えない可能性があります。
- URLバーなしでポップアップを開き、URLバー機能をエミュレートします。
- 全画面モードに入り、URLバーをエミュレートします(モバイルデバイスのブラウザーを考えてください)。
- ブラウザーが実行されているデバイスに応じて、おそらく他の多くの方法があります。
ユーザーがこのような攻撃を検出するための共通の(異なるブラウザー、オペレーティングシステムに対する)ガイドラインはありますか?
URLバーなしでポップアップを開き、URLバー機能をエミュレートします。
これを実際に引き抜くことは非常に難しいでしょう。最近のほとんどのブラウザーではこれが不可能であるという事実を無視しても、他のサイトに移動するためにページにある種のiframeが必要になります(悪意のあるサイトが実際にそこからデータを取得するために、多くの問題が発生します)、ソースを簡単に見て、これが当てはまるかどうかを確認できます。ブラウザ設定のすべてのボタンが機能しません。あなたのブックマーク/拡張機能は表示されません、そしてあなたのブラウザーが(...真剣に)深刻に侵害されない限り、これを偽ることはできません。ユーザーエージェント文字列を変更すると、これを実行しようとしたサイトを混乱させる可能性があります(Firefoxのchromeアドレスバーなど)。
全画面モードに入り、URLバーをエミュレートします(モバイルデバイスのブラウザーを考えてください)。
同じことがほとんど当てはまります。一番上までスクロールすると、Webサイトでトップバーを非表示にすることはできず、どのボタンも正しく機能しません。
ユーザーがこのような攻撃を検出するための共通の(異なるブラウザー、オペレーティングシステムに対する)ガイドラインはありますか?
本当にそうは言えません。と言うサイトbank.comですが、本当にh4x0r.netおよび証明書を使用しようとすると、ブラウザで大きなエラーが発生します。 stylesheets/htmlを使用する他のトリックは、恐ろしく有能なユーザーには納得しません。
関連するいくつかのSO質問:
これは永遠に続く可能性のあるテーマですが、疑わしいサイトに対する一般的な慣行は次のとおりです。
- Googleを使用して同じサイトにアクセスする
- ログインページである場合は、完全に偽の認証情報を使用してログインし、ログインできないようにします。「ログインしていただきありがとうございます」と表示されている場合。または同様の場合、それはフィッシングの試みです。
- リンクがhttps接続であることを確認します(これは異議申し立てですが、httpsが表示されない場合は早期警告サインです)
同様のフィッシングサイトを検出する方法は他にもたくさんありますが、これらは私の一番の提案です。