어획 공격의 반망 어업 기술 대책.
분명한 단점은 브라우저의 보안 사용자 인터페이스 (UI) 가 오늘날의 강력한 위협에 대응하기에 충분하지 않다는 것입니다. TLS 및 인증서를 통한 보안 인증은 세 부분으로 구성됩니다. 접속이 권한 부여 모드에 있는지, 사용자가 연결된 스테이션을 표시하고, 규제 기관이 실제로 이 사이트라고 합니다. 이 세 가지 모두 승인을 위해 준비해야 하며 확인을 위해 사용자에게 보내야 합니다.
보안 연결: 1990 년대 중반부터 2000 년대 중반까지 보안 브라우징에 대한 표준 표시는 잠금으로, 사용자가 쉽게 간과할 수 있습니다. Mozilla 는 2005 년에 보안 연결을 쉽게 식별할 수 있도록 노란색 URL 바를 출시했습니다. 아쉽게도 이 발명은 나중에 EV 인증서가 취소됐기 때문이다. 대신 고가의 인증서에는 녹색을 표시하고, 다른 인증서에는 파란색을 표시한다. (번역: Mozilla Firefox 판은 EV 인증서가 없는 보안 브라우징 사이트에는 파란색을 표시한다.)
어느 역: 사용자가 브라우저의 주소 표시줄에 있는 도메인 이름이 확실히 자신이 가고 싶은 곳인지 확인해야 합니다. 사이트 주소가 너무 복잡해서 구문 분석이 쉽지 않을 수 있습니다. 사용자들은 보통 자신이 연결하려는 정확한 웹사이트를 모르거나 인식하지 못하기 때문에 진위를 식별하는 것은 의미가 없다. 의미 있는 서버 인증 조건은 서버의 ID 가 사용자에게 의미가 있도록 하는 것입니다. 하지만 많은 전자상거래 사이트들이 도메인 이름을 바꿔 전체 사이트 그룹 중 하나로 바꿔 (극단적인 예: 화장품 소매부 A, 백화점 B, 마케팅회사 C, 방송국의 하위 도메인 이름 구조) 혼동 확률을 높였다. 그러나 일부 피싱 방지 도구 모음의 경우 방문한 웹 사이트의 도메인 이름만 표시하는 것만으로는 충분하지 않습니다.
또 다른 옵션은 Firefox 의 petname 플러그인으로, 사용자가 자신의 웹 사이트 레이블을 입력할 수 있도록 하여 나중에 다시 방문할 때 알아볼 수 있도록 합니다. 사이트가 인식되지 않으면 사용자에게 경고하거나 사이트를 완전히 차단합니다. 이는 사용자 중심 서버 id 관리를 나타냅니다. 사용자가 선택한 이미지가 애완동물 이름보다 더 좋을 것이라는 주장이 제기됐다.
EV 인증서가 등장함에 따라 브라우저에는 일반적으로 녹색 바탕에 흰색 글씨의 기관 이름이 표시되므로 사용자가 자신의 기대를 쉽게 식별하고 만족시킬 수 있습니다. 불행히도 브라우저 공급업체는 EV 인증서를 단독 표시로 제한하고 다른 인증서를 사용자에게 맡기기로 했습니다.
관리 조직은 누구입니까: 브라우저는 사용자가 객체 연결을 요청한 관리 조직이 누구인지 표시해야 합니다. 최소 보안 수준 단계에서는 규제 기관의 이름이 지정되지 않으므로 사용자의 경우 브라우저가 규제 기관입니다. 브라우저 공급업체는 허용 가능한 인증 기관 (CA) 의 루트 목록을 제어함으로써 이 책임을 집니다. 이것은 현재의 표준 관행이다.
여기서 문제는 브라우저 공급업체가 어떻게 품질을 통제하려고 노력하든, 시장의 CA 품질이 균일하지 않고 검사를 하지 않는다는 것이다. CA 에 서명한 모든 회사가 인증서를 받는 것은 같은 패턴과 이념을 인증하기 위한 전자 상거래 기관일 뿐이다. 인증서 제조는 신용 카드 및 이메일 배달 확인만 제공하는 저거래 인증서입니다. 두 용도 모두 사기꾼에 의해 쉽게 왜곡된다. 따라서 거래량이 많은 사이트는 다른 CA 인증에 쉽게 현혹될 수 있습니다. 이 상황은 CA 가 지구 반대편에 위치해 있고, 교통량이 많은 전기상역에 익숙하지 않거나, 사용자가 전혀 신경쓰지 않는 것일 수 있다. CA 는 자신의 고객만 보호하고 다른 CA 고객은 돌보지 않기 때문에 이 모델에서는 빈틈이 깊이 뿌리 박혀 있습니다.
이 취약점에 대한 해결책은 브라우저가 표시되어야 하며 사용자가 관리 조직의 이름을 잘 알고 있어야 한다는 것입니다. 이는 CA 를 브랜드의 구현으로 간주하고 해당 국가 내에서 여러 CA 에 연결할 수 있음을 사용자에게 알립니다. 브랜드 사용은 CA 공급업체에게도 매우 중요하며, 이는 사용자가 브랜드의 차이를 인식하고 GAI 에서 대용량 사이트를 검사하도록 요구하기 때문에 인증서 감사를 개선하는 데 도움이 될 수 있습니다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 브랜드명언)
이 솔루션은 먼저 IE7 의 이전 버전에서 구현되었습니다. EV 인증서를 표시하면 발급된 CA 가 URL 영역에 표시됩니다. 그러나, 이것은 단지 고립된 사례일 뿐이다. CA 가 브라우저 패널을 브랜드화하는 것은 여전히 저항이다. 이로 인해 위에서 언급한 것 중 가장 간단하고 간단한 보안 수준밖에 없다. 브라우저는 사용자 트랜잭션의 규제 기관이다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 예술명언)
현재 국제적으로 최고 수준의 SSL 인증서를 사용하여 낚시 공격을 효과적으로 방지하고 있다. 글로벌 트러스트 CA(GlobalSign) 는 웹 사이트에 EVSSL 인증서를 발급하고, 브라우저의 녹색 주소 표시줄을 활성화하고, 256 비트 보안 암호화를 구현하여 고객과 웹 사이트 간의 통신이 도청되지 않도록 하고, 인증 후 웹 사이트 자체의 신원을 크게 표시합니다. 보안 사용자 인터페이스를 개선하는 실험은 사용자에게 편리함을 제공하는 동시에 보안 모델의 기본 결함을 노출시킵니다. 과거 보안 브라우징에 사용된 SSL 인증 실패의 근본 원인은 여러 가지가 있습니다.
위협 전 보안: 보안 브라우징으로 인해 위협이 발생하기 전에 초기 브라우저의' 부동산 전쟁' 에서 보안이 희생되었습니다. 웹 브라우저의 원래 디자인에는 눈에 띄는 사이트 이름과 CA 이름이 있습니다. 사용자는 일반적으로 보안 정보를 전혀 확인하지 않는 데 익숙합니다. 피싱에 대항하는 또 다른 인기 있는 방법은 알려진 피싱 사이트 목록을 유지하고 언제든지 업데이트하는 것입니다. Microsoft 의 IE7 브라우저, Mozilla Firefox 2.0 및 Opera 에는 이러한 유형의 낚시방지 조치가 포함되어 있습니다. 불여우 2 에서 구글 피싱 방지 소프트웨어를 사용한다. Opera 9. 1 PhishTank 와 GeoTrust 의 블랙리스트를 사용하여 GeoTrust 의 화이트리스트를 즉시 사용. 이러한 접근 방식의 일부 소프트웨어 구현은 방문한 웹 사이트를 중앙 서버로 보내 개인 정보 보호 문제를 야기합니다. Mozilla Foundation 의 2006 년 말 보고서에 따르면, 독립 소프트웨어 테스트 회사의 연구에 따르면 Firefox 2 는 Internet Explorer 7 보다 사기 웹 사이트를 더 효과적으로 발견하는 것으로 간주됩니다.
2006 년 중반에는 한 가지 방법이 가동되고 시행되었다. 이 방법에는 특수 DNS 서비스로 전환하고 알려진 낚시 도메인 이름을 필터링하는 작업이 포함됩니다. 이는 모든 브라우저와 호환되며 호스트 파일을 사용하여 온라인 광고를 차단하는 것과 유사한 원칙을 사용합니다.
피싱 사이트가 피해자 사이트의 이미지 (예: 상표) 를 내장하여 사칭하는 문제를 완화하기 위해 일부 사이트 소유자가 이미지를 변경하여 방문자에게 메시지를 보내는 것은 사기적일 수 있다. 이미지를 새 파일 이름으로 이동하고 원본 파일 이름을 영구적으로 바꾸거나 일반 탐색 조건에서 서버에서 감지할 수 있는 이미지를 요청하지 않고 경고 이미지를 보낼 수 있습니다. 뱅크 오브 아메리카 (Bank of America) 웹 사이트는 사용자가 개인 이미지를 선택하고 비밀번호를 입력해야 하는 모든 경우에 사용자가 선택한 이미지를 표시하도록 요구하는 많은 웹 사이트 중 하나입니다. 이 은행의 온라인 서비스 사용자는 자신이 선택한 사진을 볼 때만 비밀번호를 입력해야 한다. 그러나 최근 연구에 따르면 이미지가 나타나지 않을 때 소수의 사용자만 비밀번호를 입력하지 않는 것으로 나타났습니다. 또한 다른 형태의 2 요소 인증과 마찬가지로 이 기능은 2005 년 말 스칸디나비아 반도의 Nordia 은행 사건과 2006 년 Citibank 사건과 같은 다른 공격에 취약합니다.
보안 셸은 사용자가 선택한 그림으로 레지스트리 양식을 덮어 양식이 합법적인지 여부를 표시하는 시각적 힌트로 사용하는 기술입니다. 그러나 웹 기반 이미지 시스템과 달리 이미지 자체는 사용자와 브라우저 사이에서만 공유되며 사용자와 웹 사이트 간에는 공유되지 않습니다. 또한 이 시스템은 상호 인증 프로토콜에 의존하므로 인증만 받은 사용자 시스템의 공격에 취약하지 않습니다. 65438+2004 년 6 월 26 일, 미국 연방무역위원회는 인터넷 체포 어민 혐의에 대한 첫 소송을 제기했다. 피고는 미국 캘리포니아의 청소년이다. 그는 미국 온라인 사이트처럼 보이는 홈페이지를 디자인하고 만들어 신용카드 데이터를 훔치는 데 사용했다고 한다. 다른 나라들도 이 선례를 인용하여 그물낚시꾼을 추적하고 체포한다. 발디르 폴 디 알메이다, 큰 그물 어부, 브라질에서 체포됐다. 그는 2 년 만에 약 18 만 달러에서 3700 만 달러를 훔친 것으로 추정되는 가장 큰 피싱 범죄 집단을 이끌고 있다. 2005 년 6 월 영국 당국은 피싱 사기에 참여한 두 남자를 구속했다. 이 사기는 당시 가장 크고 악명 높은 신용카드 절도 사이트였다. 2006 년 일본에서 8 명이 체포됐고, 일본 경찰은 야후 일본 사이트를 위조해 사기를 치고 6543 억 8 천만 엔 (87 만 달러) 을 배상한 것으로 의심했다. 2006 년 미국 연방 수사국은 미국과 유럽에서' 카드 소지자' 라는 16 인단을 체포했다.
미국에서 패트릭 레시 상원의원은 2005 년 3 월 6 일 미국 국회에 2005 년 피싱 방지 법안을 제출했다. 이 법안이 법률이 되면 허위사이트 구축, 허위메일 사기 소비자를 보내는 범죄자에 대해 최대 25 만 달러의 벌금과 최대 5 년의 감금이 부과된다. 2006 년 영국은' 2006 년 사기법' 을 통해 위조사기와 싸우는 법률무기를 강화했다. 이 법안은 일반 사기죄를 채택하고 최대 65,438+00 년 징역을 선고받을 수 있으며 사기하려는 낚시 패키지 개발 또는 소유를 금지했다.
많은 회사들도 인터넷 체포에 반대하는 투쟁에 가담했다. 2005 년 3 월 3 1 일 마이크로소프트는 미국 워싱턴 서부 지방법원에 1 17 소송을 제기했다. 이 소송은 피고인' 익명자' 가 암호 정보와 기밀 정보를 불법적으로 입수했다고 고발했다. 2005 년 3 월, Microsoft 는 오스트레일리아 정부와 협력하여 법 집행관들에게 피싱을 포함한 각종 사이버 범죄에 대처하는 방법을 가르쳤습니다. 2006 년 3 월, 마이크로소프트는 미국 밖에서 65,438+000 건의 사건을 더 기소할 계획이라고 발표했다. 이어 회사는 2006 년 6 월 말 현재 65,438+029 건의 형사사건을 형사와 민사혼합행동으로 기소하겠다는 약속을 지켰다. AOL 은 피싱 타격도 강화했다. 2006 년 초, 2005 년 개정된 버지니아 컴퓨터범죄법에 따르면 Earthlink 는 65,438+08 백만 달러의 배상을 요구하는 세 건의 사건을 기소했고, Earthlink 는 코네티컷 주 남자 6 명을 식별하는 데 도움을 준 사건에 가담했고, 이후 피싱 사기죄로 고발되었다.
2007 년 6 월 5438+ 10 월, Jeffrey Brett Gauting 은 배심원단이 인용한 2003 년 CAN-SPAM 법안에 의해 유죄 판결을 받아 캘리포니아주 최초로 이 법정죄에 따른 피고가 되었다. 그는 미국 온라인 사용자에게 수천 통의 이메일을 보내고 미국 온라인 회계 부서인 척하며 고객에게 개인 및 신용 카드 데이터를 제출할 것을 촉구하는 혐의로 유죄 판결을 받았다. 안티스팸 법과 사기, 무단 신용 카드 사용, AOL 남용을 포함한 수십 개의 기타 상표에 따라 그는 70 개월의 징역 10 1 년 형을 선고받았다. 고태는 이전 청문회에 참석하지 않아 구속돼 즉시 감옥에서 복역하기 시작했다. (윌리엄 셰익스피어, 윈스턴, 청문회, 청문회, 청문회, 청문회, 청문회, 청문회)