Защита редиректов от фишинга

Фишинг (англ. phishing, от password - пароль и fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (например, логинам и паролям).

Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей, банков, порталов. В письме часто содержится прямая ссылка на сайт, внешне не отличимая от настоящей.

Фишинг основан на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Защита редиректов от фишинга осуществляется двумя методами:

• Во-первых, можно определить злонамеренный редирект по отсутствию заголовка http протокола - ссылающаяся страница.
• Во-вторых, можно подписать ссылки, генерируемые на сайте, цифровой подписью и проверять эту подпись при попытке редиректа.

Защита может заключаться в следующих вариантах действий:

• Или показать пользователю предупреждение, что он будет перенаправлен на другой сайт и показать на какой именно.
• Или принудительно перенаправить его на заведомо безопасный адрес. Например, главную страницу атакуемого сайта.

Рекомендуется включить для высокого уровня.