In unserem kürzlich veröffentlichten Post im Google-Blog zur Onlinesicherheit haben wir unser System zur Erkennung von Phishing-Seiten erläutert. Unter den Millionen von Webseiten, die unsere Scanner auf Phishing analysieren, werden neun von zehn Phishing-Seiten erfolgreich erkannt. Unser Klassifizierungssystem kennzeichnet nur in etwa einem von 10.000 Fällen eine Nicht-Phishing-Website fälschlicherweise als Phishing-Website und schneidet somit deutlich besser ab als ähnliche Systeme. Unserer Erfahrung nach wurden "falsch positive" Websites häufig zur Verteilung von Spam erstellt oder es besteht ein anderer Zusammenhang mit verdächtigen Aktivitäten. Falls ihr feststellt, dass eure Website fälschlicherweise unserer Liste mit Phishing-Seiten ("Als Betrugsversuch gemeldete Webseite!") hinzugefügt wurde, meldet uns bitte den Fehler . Sollte eure Website hingegen unserer Malware-Liste hinzugefügt worden sein ("Diese Website kann Ihren Computer beschädigen"), befolgt bitte diese Anweisungen . Unser Team versucht, alle Beschwerden innerhalb eines Tages zu bearbeiten. Normalerweise antworten wir innerhalb weniger Stunden.Fragt nicht nach Nutzernamen und Passwörtern, die nicht zu eurer Website gehören. Ein solches Verhalten stufen wir grundsätzlich als Phishing ein, also lasst es einfach. Falls ihr einen Add-on-Service zu einer anderen Website anbieten möchtet, solltet ihr stattdessen ein öffentliches API oder OAuth in Erwägung ziehen.Blendet in der Nähe von Anmeldefeldern keine Logos ein. Dies kann leicht zu der Annahme führen, dass das Logo eure Website repräsentiert, und den Nutzer dazu verleiten, persönliche Informationen auf eurer Website einzugeben, die für eine andere Website gedacht sind. Außerdem haben wir keine Möglichkeit, zu überprüfen, ob dies beabsichtigt ist, sodass wir eure Website vielleicht einfach sicherheitshalber blockieren. Um Missverständnisse zu vermeiden, solltet ihr solche Logos nur mit äußerster Vorsicht verwenden.Verwendet für eure Website möglichst wenige Domains, insbesondere zu Anmeldezwecken. Auf Website Y nach dem Nutzernamen und Passwort für Website X zu fragen, wirkt äußerst verdächtig. Abgesehen davon, dass es uns die Einstufung eurer Website erschwert, bringt ihr so euren Besuchern möglicherweise bei, verdächtige URLs zu ignorieren, sodass sie leichter Opfer von Phishing-Versuchen werden. Sollte es unbedingt notwendig sein, dass eure Anmeldeseite sich in einer anderen Domain befindet als eure Hauptwebsite, ist die Verwendung eines transparenten Proxys sinnvoll, der es den Nutzern ermöglicht, über eure primäre Domain auf diese Seite zuzugreifen. Falls alles andere nicht funktioniert... Sorgt dafür, dass Links zu euren Seiten leicht gefunden werden. Es ist sowohl für uns als auch für eure Nutzer schwierig, herauszufinden, wer für eine Seite außerhalb der Domain eurer Website verantwortlich ist, wenn die Links zu dieser Seite auf eurer Hauptwebsite nicht leicht zu finden sind. Das Problem ist denkbar einfach zu lösen: Ihr setzt einfach auf jeder Seite außerhalb der Domain einen Link zurück zu einer Seite innerhalb der Domain, auf der wiederum ein Link zu der externen Seite enthalten ist. Falls ihr das versäumt und eine eurer Seiten fälschlicherweise auf unserer Liste landet, gebt bitte in eurer Fehlermeldung an, wie wir den Link von eurer Hauptwebsite zu der fälschlicherweise blockierten Seite finden. Am allerwichtigsten jedoch...Sendet keine seltsamen Links per E-Mail oder IM. Es ist praktisch unmöglich für uns, ungewöhnliche Links zu verifizieren, die nur in euren E-Mails oder Sofortnachrichten vorkommen. Und, was es noch schlimmer macht, solche Links können dazu führen, dass eure Nutzer/Kunden/Freunde es sich angewöhnen, auf seltsame Links zu klicken, die sie per E-Mail oder IM erhalten. Damit riskieren sie, nicht nur Opfer von Phishing, sondern auch noch von anderen Formen der Internetkriminalität zu werden. Will the Real <Your Site Here> Please Stand Up? (English version)
Kommentare :
Wie mag "Fragt nicht nach Nutzernamen und Passwörtern, die nicht zu eurer Website gehören." genau gemeint sein?
Beispiel: auf lexisnexis.de/lexonline erfolgt aus technischen Gründen die Authentifizierung für lexsoft.de
Beides sind "unsere" Seiten, aber es sind eben auch unterschiedliche Seiten. Ist hier ein Pishing-Verdacht gegeben?
Mein Forum (wow-forum.com/de/private.php) gehört seit heute zu den 0,01% der Websites, bei denen fälschlicherweise vor Phishing gewarnt wird und hoffe, dass sich der vielen "dies ist kein Betrugsversuch" Meldungen unserer Mitglieder schnell angenommen wird. Gibt es Möglichkeiten, die manuelle Prüfung zu beschleunigen? Die hier genannten Richtlinien werden übrigens in allen Punkten seit Jahren eingehalten.
Vermutlich haben die Meldungen ihren Ursprung im letzten Newsletter (>180.000 Mitglieder), welcher über das interne Nachrichten-System verschickt wurde.
Viele Grüße aus Bremen
Kommentar veröffentlichen