30 Mart 2010, Salı
Google Online Güvenlik Blogu'ndaki son yayınımızda, kimlik avı amaçlı sayfaları tanımlayan sistemimizi açıklamıştık. Tarayıcılarımızın kimlik avı için analiz ettiği milyonlarca web sayfası arasından, 10 kimlik avı amaçlı sayfadan 9 tanesini başarıyla tespit edebiliyoruz. Sınıflandırma sistemimiz, kimlik avı amaçlı olmayan bir siteyi 10.000 defada bir kez kimlik avı amaçlı site olarak yanlış bir şekilde işaretler. Bu oran da benzer sistemlerden çok daha iyidir. Deneyimlerimize göre bu "yanlış pozitif" siteler genellikle spam yaymak için oluşturulmuştur veya diğer şüpheli etkinliklerle ilgili olabilir. Sitenizin yanlışlıkla kimlik avı amaçlı sayfa listemize ("Bildirilen Web Sahtekarlığı") eklendiğini fark ederseniz lütfen bu hatayı bize bildirin. Diğer yandan, siteniz kötü amaçlı yazılım listemize ("Bu site bilgisayarınıza zarar verebilir") eklendiyse kötü amaçlı yazılımla ilgili sorunları düzeltme talimatlarını uygulamalısınız. Ekibimiz tüm şikayetleri bir gün içinde ele almaya çalışır ve genellikle birkaç saat içinde yanıt verir.
Maalesef bazen raporlarınızın takibini yapmaya çalıştığımızda en az otomatik sistemimiz kadar kafamız karışabiliyor. Web siteniz varsa hataları hızlı bir şekilde düzeltmemize ve sitenizi, kimlik avı amaçlı sayfa listemizden uzak tutmamıza yardımcı olacak bazı basit kuralları aşağıda bulabilirsiniz.
Sitenize ait olmayan kullanıcı adlarını ve şifreleri istemeyin.
Doğası gereği kimlik avı olarak değerlendirdiğimiz için bu davranıştan kaçının. Başka bir siteye eklenti hizmeti sağlamak istiyorsanız bunun yerine genel API veya OAuth kullanmayı düşünebilirsiniz.
Giriş alanlarının yakınında size ait olmayan logolar göstermekten kaçının.
Web'de gezinen biri, logonun web sitenizi temsil ettiği yanılgısına kapılabilir ve yanlış yönlendirmeden dolayı, diğer siteye girmek istediği kişisel bilgileri sizin sitenize girebilir. Ayrıca, bunu kasıtlı olarak yapmadığınızdan emin olmamız her zaman mümkün olmadığı için işi şansa bırakmamak adına sitenizi engelleyebiliriz. Yanlış anlamaları önlemek için bu logoları gösterirken dikkatli olmanızı öneririz.
Siteniz tarafından (özellikle giriş işlemleri için) kullanılan alan sayısını en aza indirin.
X sitesi için kullanıcı adının ve şifrenin, Y sitesinde istenmesi çok şüpheli görünür. Web sitenizi değerlendirmemizi zorlaştırmanın yanı sıra farkında olmadan ziyaretçilerinize şüpheli URL'leri yoksaymayı öğretiyor olabilirsiniz. Bu da kullanıcıları gerçek kimlik avı girişimlerine karşı daha savunmasız hale getirir. Giriş sayfanızın, ana sitenizden farklı bir alanda olması gerekiyorsa kullanıcıların bu sayfaya birincil alanınızdan erişmesini sağlamak için şeffaf proxy kullanabilirsiniz. Hiçbiri işe yaramazsa...
Sayfalarınıza giden bağlantıların kolayca bulunmasını sağlayın
Asıl sitenizden, sitenizdeki alan dışı sayfalara verilen bağlantıların bulunması zorsa, bu sayfaları kimin kontrol ettiğini belirlememiz (kullanıcılarınız açısından da) zor olur. Bu sorunu gidermek için alan dışındaki her sayfadan, kendisine bağlantı veren alan içi bir sayfaya bağlantı vermeniz yeterli olacaktır. Bunu yapmadıysanız ve sayfalarınızdan biri yanlışlıkla listemize eklenirse lütfen, hatalı şekilde engellenen sayfaya ana sitenizden verilen bağlantıyı nasıl bulabileceğimizi hata raporunuzda belirtin. Ancak başka bir şey yapmazsanız...
E-posta veya IM üzerinden tuhaf bağlantılar göndermeyin
Yalnızca e-postalarınızda veya anlık mesajlarınızda görünen olağan dışı bağlantıları doğrulamamız mümkün değildir. Daha da kötüsü bu tür bağlantıları kullandığınızda, kullanıcılarınızı/müşterilerinizi/arkadaşlarınızı, e-posta veya anlık mesaj üzerinden aldıkları tuhaf bağlantıları tıklamaya alıştırabilirsiniz. Bu durumda, kimlik avının yanı sıra diğer internet suçlarına karşı da risk altında olurlar.
Bu önerileri mantıklı bulduğunuzu umuyor olsak da zaman zaman büyük e-ticaret ve finans şirketlerinin de bu kuralları ihlal ettiğini gördük. Bahsedilen önerileri uyguladığınızda yalnızca kimlik avı önleme sistemlerimizle ilgili deneyiminizi iyileştirmekle kalmaz, ziyaretçilerinize de daha iyi bir internet deneyimi sunabilirsiniz.