Wtorek, 30 marca 2010 roku
W naszym niedawnym poście na blogu Google o bezpieczeństwie online opisaliśmy system identyfikowania stron wyłudzających informacje. Spośród milionów stron analizowanych przez nasze skanery pod kątem phishingu udało nam się zidentyfikować 9 na 10 stron wyłudzających informacje. Witrynę, która nie wyłudza informacji, nasz system nieprawidłowo oznacza jako witrynę wyłudzającą informacje mniej więcej raz na 10 tysięcy razy, czyli radzi sobie znacznie lepiej niż podobne systemy. Z naszego doświadczenia wynika, że takie "fałszywie pozytywne" strony zazwyczaj są tworzone z myślą o rozpowszechnianiu spamu lub mogą być powiązane z inną podejrzaną aktywnością. Jeśli okaże się, że witryna została dodana do naszej listy stron wyłudzających informacje („Zgłoszone oszustwo internetowe”) w wyniku błędu, zgłoś nam to. Jeśli jednak witryna została dodana do naszej listy złośliwego oprogramowania („Ta witryna może wyrządzić szkody na Twoim komputerze”), postępuj zgodnie z instrukcjami rozwiązywania problemów ze złośliwym oprogramowaniem. Nasz zespół zazwyczaj rozpatruje skargi w ciągu 1 dnia i odpowiada na nie w ciągu kilku godzin.
Niestety, czasami podejmując działania w związku z raportami, zauważamy, że nie potrafimy dobrze rozpoznać sytuacji tak samo jak nasz automatyczny system. Jeśli prowadzisz witrynę, oto kilka prostych wskazówek, dzięki którym szybko naprawimy błędy i usuniemy Twoją witrynę z listy stron wyłudzających informacje.
Nie proś o podanie nazw użytkowników i haseł, które nie należą do Twojej witryny.
Zgodnie z definicją takie zachowania traktujemy jako phishing, dlatego nie należy tego robić. Jeśli chcesz oferować usługę dodatkową w innej witrynie, rozważ użycie publicznego interfejsu API lub protokołu OAuth.
Przy polach logowania unikaj wyświetlania logo, które nie należą do Ciebie.
Użytkownik internetu może pomyśleć, że logo reprezentuje Twoją witrynę i w rezultacie podać na niej dane osobowe, które miał podać w innej witrynie. Nie zawsze możemy też mieć pewność, że nie robisz tego celowo, dlatego dla bezpieczeństwa możemy zablokować Twoją witrynę. Aby uniknąć nieporozumień, zachowaj ostrożność podczas wyświetlania tych logo.
Ogranicz liczbę domen używanych przez Twoją witrynę, zwłaszcza w przypadku logowania.
Pytanie w witrynie Y o nazwę użytkownika i hasło do witryny X wygląda bardzo podejrzanie. Oprócz tego, że utrudnia nam ocenę witryny, możesz nieumyślnie uczyć użytkowników, aby ignorowali podejrzane adresy URL, co naraża ich na rzeczywiste ataki typu phishing. Jeśli musisz mieć stronę logowania w innej domenie niż Twoja witryna główna, rozważ użycie przezroczystego serwera proxy, aby umożliwić użytkownikom dostęp do tej strony w domenie podstawowej. Jeśli wszystko inne zawiedzie...
Ułatw znajdowanie linków do Twoich stron
Zarówno nam, jak i użytkownikom trudno stwierdzić, kto kontroluje stronę spoza domeny w Twojej witrynie, jeśli linki do niej z Twojej witryny głównej są trudne do znalezienia. Aby rozwiązać ten problem, wystarczy każdy link do strony spoza domeny przywrócić na stronę w domenie, która zawiera linki do niej. Jeśli tego nie zrobisz, a jedna z Twoich stron pojawi się w wyniku błędu na naszej liście, wspomnij w raporcie o błędach, jak możemy znaleźć link prowadzący z Twojej głównej witryny do nieprawidłowo zablokowanej strony. Jeśli jednak nic innego nie zrobisz...
Nie wysyłaj dziwnych linków przez pocztę e-mail ani komunikatory
Nie jesteśmy w stanie zweryfikować nietypowych linków, które pojawiły się tylko w e-mailach i wiadomościach czatu. Co gorsza, korzystanie z tego rodzaju linków sprawia, że Twoi użytkownicy/klienci/znajomi przyzwyczajają się do klikania dziwnych linków, które otrzymują w e-mailu lub komunikatorze. To naraża ich na niebezpieczeństwa związane z innymi przestępstwami w internecie oprócz phishingu.
Mamy nadzieję, że te zalecenia zostaną przyjęte ze zrozumieniem, bo zdarza się, że czasami nie stosują się do nich nawet duże firmy e-commerce i finansowe. Stosowanie się do nich nie tylko poprawi wygodę korzystania z naszych systemów antyphishingowych, ale również zwiększy wygodę użytkowników Twojej witryny