วันอังคารที่ 30 มีนาคม 2010
โพสต์ล่าสุดในบล็อกการรักษาความปลอดภัยออนไลน์ของ Google เราได้อธิบายเกี่ยวกับระบบที่เราใช้ระบุหาหน้าฟิชชิง ในบรรดาหน้าเว็บหลายล้านหน้าที่โปรแกรมสแกนของเราวิเคราะห์หาฟิชชิง เราระบุหน้าเว็บฟิชชิงได้ถึง 9 จาก 10 หน้า ระบบแยกประเภทของเราระบุอย่างไม่ถูกต้องว่าเว็บไซต์ที่ไม่ใช่ฟิชชิงเป็นเว็บไซต์ฟิชชิงเพียงแค่ 1 ใน 10,000 ครั้ง ซึ่งถือว่าดีกว่าระบบที่คล้ายกันมาก จากประสบการณ์ของเรา โดยปกติเว็บไซต์ที่ "ระบุอย่างไม่ถูกต้อง (False Positive)" เหล่านี้สร้างขึ้นเพื่อกระจายสแปมหรืออาจมีส่วนเกี่ยวข้องกับกิจกรรมที่น่าสงสัยอื่นๆ หากพบว่ามีการเพิ่มเว็บไซต์ของคุณลงในรายการหน้าฟิชชิง ("หน้าปลอมแปลงของเว็บที่ถูกรายงาน") ด้วยความผิดพลาด โปรดรายงานข้อผิดพลาดให้เราทราบ ในทางกลับกัน หากมีการเพิ่มเว็บไซต์ของคุณลงในรายการมัลแวร์ ("เว็บไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ") คุณควรทําตามวิธีการแก้ไขปัญหาเกี่ยวกับมัลแวร์ ทีมของเราจะพยายามจัดการกับการร้องเรียนทั้งหมดภายใน 1 วัน และโดยปกติเราจะตอบกลับภายในไม่กี่ชั่วโมง
อย่างไรก็ตาม บางครั้งเมื่อเราพยายามติดตามผลรายงานของคุณ เราพบว่ามีความสับสนกับระบบอัตโนมัติของเรา หากคุณดูแลเว็บไซต์ ต่อไปนี้คือหลักเกณฑ์ง่ายๆ ที่จะช่วยให้เราแก้ไขข้อผิดพลาดได้อย่างรวดเร็ว และช่วยให้เว็บไซต์ของคุณไม่อยู่ในรายการหน้าฟิชชิงได้ตั้งแต่แรก
อย่าขอชื่อผู้ใช้และรหัสผ่านที่ไม่ได้เป็นของเว็บไซต์คุณ
เราถือว่าพฤติกรรมนี้มีฟิชชิงตามคําจํากัดความ ดังนั้นโปรดอย่าทําอย่างนั้น หากต้องการมอบบริการเสริมไปยังเว็บไซต์อื่น ให้ลองใช้ API สาธารณะหรือ OAuth แทน
หลีกเลี่ยงการแสดงโลโก้ที่ไม่ใช่ของคุณใกล้กับช่องเข้าสู่ระบบ
ผู้ที่ท่องเว็บอาจเข้าใจผิดว่าโลโก้นั้นแสดงถึงเว็บไซต์ของคุณ และอาจมีคนเข้าใจผิดว่าป้อนข้อมูลส่วนบุคคลลงในเว็บไซต์ที่ตั้งใจให้ไปยังเว็บไซต์อื่น นอกจากนี้ เรายังไม่อาจแน่ใจว่าคุณไม่ได้ตั้งใจดำเนินการเช่นนี้ได้เสมอไป และอาจบล็อกเว็บไซต์ให้ปลอดภัย เราขอแนะนําให้ใช้ความระมัดระวังเมื่อแสดงโลโก้เหล่านี้เพื่อป้องกันความเข้าใจผิด
ลดจํานวนโดเมนที่ใช้งานในเว็บไซต์ของคุณ โดยเฉพาะเพื่อเข้าสู่ระบบ
การถามชื่อผู้ใช้และรหัสผ่านสำหรับเว็บไซต์ X จะดูน่าสงสัยมากในเว็บไซต์ Y นอกจากจะทำให้เราประเมินเว็บไซต์ได้ยากแล้ว คุณอาจกําลังสอนผู้เข้าชมให้ไม่สนใจ URL ที่น่าสงสัยโดยไม่ตั้งใจ ซึ่งทําให้เสี่ยงต่อการถูกโจมตีด้วยฟิชชิงจริงๆ หากคุณต้องมีหน้าเข้าสู่ระบบในโดเมนอื่นจากเว็บไซต์หลัก ให้พิจารณาใช้พร็อกซีแบบโปร่งใสเพื่อให้ผู้ใช้เข้าถึงหน้านี้จากโดเมนหลักได้ หากทั้งหมดนี้ทำไม่ได้...
ทําให้การค้นหาลิงก์ไปยังหน้าเว็บของคุณเป็นเรื่องง่าย
เรา (และผู้ใช้ของคุณ) จะระบุได้ยากว่าใครคือผู้ควบคุมหน้าที่อยู่นอกโดเมนในเว็บไซต์ของคุณ หากไม่พบลิงก์ไปยังหน้าดังกล่าวจากเว็บไซต์หลัก ในการแก้ไขปัญหานี้ คือการให้หน้าเว็บนอกโดเมนแต่ละรายการลิงก์กลับไปยังหน้าในโดเมนที่ลิงก์มา หากคุณยังไม่ได้ดําเนินการ และหน้าใดหน้าหนึ่งของคุณอยู่ในรายการของเราด้วยความผิดพลาด โปรดแจ้งให้เราทราบในรายงานข้อผิดพลาดว่าเราจะพบลิงก์จากเว็บไซต์หลักของคุณที่ไปยังหน้าที่ถูกบล็อกอย่างไม่ถูกต้องได้อย่างไร แต่หากคุณไม่ดําเนินการใดๆ เพิ่มเติม...
อย่าส่งลิงก์แปลกๆ ไปทางอีเมลหรือ IM
มันแทบจะเป็นไปไม่ได้เลยสำหรับเราที่จะตรวจสอบลิงก์ที่ผิดปกติซึ่งปรากฏในอีเมลหรือข้อความโต้ตอบแบบทันที (IM) เท่านั้น ที่แย่กว่านั้น การใช้ลิงก์ประเภทต่อไปนี้จะทําให้ผู้ใช้/ลูกค้า/เพื่อนต้องคลิกลิงก์แปลกๆ ที่ได้รับทางอีเมลหรือ IM ซึ่งจะทําให้พวกเขามีความเสี่ยงต่ออาชญากรรมอินเทอร์เน็ตอื่นๆ นอกจากฟิชชิง
เราหวังว่าคําแนะนําเหล่านี้จะเป็นประโยชน์สําหรับคุณ ซึ่งเราเห็นว่ามีบริษัทอีคอมเมิร์ซและการเงินรายใหญ่ที่ละเมิดหลักเกณฑ์เหล่านี้เป็นครั้งคราว การปฏิบัติตามหลักเกณฑ์นี้นอกจากจะช่วยปรับปรุงประสบการณ์การใช้งานของคุณในส่วนของระบบป้องกันฟิชชิงของเราแล้ว ยังช่วยให้ผู้ใช้ได้รับประสบการณ์ออนไลน์ที่ดีขึ้นอีกด้วย