フィッシング攻撃はよりスマートになり、最も勤勉なユーザーでさえも識別できません。時々、攻撃が発生し、手遅れになるまで人々は賢明ではありません。また、セキュリティの専門家が、偽のAppleサインインプロンプトのように発生する前に、フィッシング詐欺の可能性を特定できる場合もあります。フィッシング詐欺は多くの場合、大規模で人気のあるサービスを標的とするため、これらのサービスはユーザーをこれらの詐欺から保護しようとします。 Googleは、Chrome拡張機能をリリースしました パスワードアラート 偽のGoogleログインフォームを識別することができます。
偽のGoogleログインフォームを識別する
パスワードアラートをインストールすれば、それだけですしなければなりません。拡張機能ではURLバーの横にアイコンが追加されますが、資格情報を入力するGoogleログインフォームが本物である場合は何も表示されません。拡張機能は、偽のGoogleログインフォームにログイン情報を入力した場合にのみ通知します。
今年、注目を集めるフィッシング詐欺がかなりありました。 1つはGoogle Docsユーザーを対象とし、もう1つはPlexとの提携を主張しました。
Googleドキュメントのフィッシング攻撃の場合、Googleは迅速に対応しました。この問題は、Redditで報告されてから数時間以内に修正されました。その特定の詐欺では、再度ログインするように求める必要はありませんでした。つまり、追加の確認手順はありませんでした。アカウントの情報にアクセスするための追加の許可を求めました。この場合、この拡張機能はおそらくあなたを救うことができなかっただろうが、それはあなたのブラウザに持つことの良いセキュリティ層です。
改善の余地
パスワードアラートはリアクティブであり、プロアクティブではありません。 Chrome Web Storeの説明によると、この拡張機能は、偽のGoogleログインフォームにメールとパスワードを入力した場合にのみ、潜在的な危険について警告します。拡張機能は、アクセスしたWebページを実際にスキャンして、それらが本物かどうかを確認しません。
これが意味することは、それまでにパスワード警告は、フィッシングされたことを警告します。ログイン資格情報はすでに放棄されています。拡張機能により、ログイン名とパスワードをすぐに変更するよう求められます。この拡張機能は、情報が危険にさらされても、リセットする前に攻撃者がそれを使用するのに十分な時間がないように、拡張機能が十分に速く警告できるようにするというものです。
それは楽観的なアプローチですが、問題は人々は同じパスワードを使用する傾向があるか、複数のサービスでパスワードを変更する傾向があります。疑いを持たないユーザーは、Googleログイン資格情報を変更するだけで十分であると考えるかもしれません。より勤勉なユーザーは、パスワードが悪用される前に複数のサービスでパスワードをすばやく変更する必要があり、時間との戦いになる可能性があります。
コメント