巧用色彩防御钓鱼攻击

Track-SSG   ·   发表于 2019-02-28 11:01:17   ·   漏洞文章

22.jpg

随着层出不穷的新型钓鱼攻击,你很难确定收到的电子邮件是否可靠。

你不能相信寄件人的名字,你不能相信电子邮件的界面排版,你更不能相信邮件内容。为了安全起见,你需要验证发件人的域名以及邮件中包含的所有的链接。

对于普通用户来说,每次打开收件箱查看信件时都检查各种位置的域名是不合理的,防御钓鱼攻击需要一个更好的方法。

色彩

上述的矛盾是,确定电子邮件是否安全所需的信息

  1. 很难立马看到

  2. 对于普通人来说很难理解一长串的域名之间的异同。

如果可以的话,用来验证电子邮件是否安全的信息最好是对于普通人来说容易看到,容易分辨。

如果你是特工,需要确认和你接头的人的身份时,有这么几种方法:

  1. 接头人的特征(生物特征)

  2. 接头人拿着什么物件(双因素认证代码)

  3. 接头人的直到的口令(密码)。

目前我还不清楚如何将电子邮件与生物特征或双因素认证联系起来,但我们绝对可以利用“密码”。

当我们登录网站,我们需要提供密码来验证我们是谁。反过来,网站是不是也需要向我们提供密码,以便向我们证明它们的身份?如果这些密码不是复杂的字符串,而是很容易看到的颜色呢?

33.png

想象一下:当你在一个网站创建新的帐户以及密码时,它们同时为你创建了一个和你绑定的“密码”。例如,在注册成功邮件中,告诉和你绑定的“密码”,一种特定的颜色,这种颜色是你的帐户独有的。从那一刻起,你清楚的知道,如果一封电子邮件不包含你的颜色,那么就会一定是钓鱼邮件。

以下是相关示例:

44.png

独特的色彩对人来说记住并不复杂,且容易注意到。如果你想了解更多的细节,可以到Github上的https://github.com/turbomaze/colorful-phish了解更多,它将通过3行代码帮助你的网站的用户杜绝钓鱼攻击。

你想和我讨论更多细节,可以在https://twitter.com/@imigliu找到我。

来源:https://hackernoon.com/how-color-can-prevent-your-users-from-getting-phished-a4f73317474f
           


打赏我,让我更有动力~

0 条回复   |  直到 2019-2-28 | 1175 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.