巧用色彩防御钓鱼攻击
随着层出不穷的新型钓鱼攻击,你很难确定收到的电子邮件是否可靠。
你不能相信寄件人的名字,你不能相信电子邮件的界面排版,你更不能相信邮件内容。为了安全起见,你需要验证发件人的域名以及邮件中包含的所有的链接。
对于普通用户来说,每次打开收件箱查看信件时都检查各种位置的域名是不合理的,防御钓鱼攻击需要一个更好的方法。
色彩
上述的矛盾是,确定电子邮件是否安全所需的信息
很难立马看到
对于普通人来说很难理解一长串的域名之间的异同。
如果可以的话,用来验证电子邮件是否安全的信息最好是对于普通人来说容易看到,容易分辨。
如果你是特工,需要确认和你接头的人的身份时,有这么几种方法:
接头人的特征(生物特征)
接头人拿着什么物件(双因素认证代码)
接头人的直到的口令(密码)。
目前我还不清楚如何将电子邮件与生物特征或双因素认证联系起来,但我们绝对可以利用“密码”。
当我们登录网站,我们需要提供密码来验证我们是谁。反过来,网站是不是也需要向我们提供密码,以便向我们证明它们的身份?如果这些密码不是复杂的字符串,而是很容易看到的颜色呢?
想象一下:当你在一个网站创建新的帐户以及密码时,它们同时为你创建了一个和你绑定的“密码”。例如,在注册成功邮件中,告诉和你绑定的“密码”,一种特定的颜色,这种颜色是你的帐户独有的。从那一刻起,你清楚的知道,如果一封电子邮件不包含你的颜色,那么就会一定是钓鱼邮件。
以下是相关示例:
独特的色彩对人来说记住并不复杂,且容易注意到。如果你想了解更多的细节,可以到Github上的https://github.com/turbomaze/colorful-phish
了解更多,它将通过3行代码帮助你的网站的用户杜绝钓鱼攻击。
你想和我讨论更多细节,可以在https://twitter.com/@imigliu
找到我。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://hackernoon.com/how-color-can-prevent-your-users-from-getting-phished-a4f73317474f
最新评论