Меню
Что нового?

фишинг. ситуация на сегодня? :-)

akd

akd

dive now, work later
Команда форума
расскажите кто внедрял в последнее время какие-нибудь анти-фишинговые штуки, на что нужно обращать внимание? :)

то, что внедряем сейчас.
- сертификат с EV (Thawte или Verisign), и на логине картинки пользователю, на что обратить внимание.
- двух-фазовый логин (сначала логин + пароль, потом сгенеренный токен из мыла или смс)
- следим за изменением IP и авторизуем (так работает, например, у вебманей)
- следим за двойными входами, как за потенциальной потерей контроля.
- каждая операция подписывается токеном как и логин
- периодически рассылаем пользователям мыло, с информацией что, никогда не требуем у них данные.
- периодически выбрасываем такие-же уведомления в личном кабинете.

поделитесь, кто еще чем занимается для отлова товарисчей волков?
 
akd

akd

dive now, work later
Команда форума
замечу, что не все вещи по дефолту включены. например, отслеживание ip адреса и привязку к нему, пользователь включает себе сам.
 
craz

craz

Нестандартное звание
вам не ответят)) вы как Кос решите проблему сами мне кажеться)

кстати было бы не плохо если бы и вы и он выложили результаты работы... - ну на ваше усмотрение в любом случае
 
akd

akd

dive now, work later
Команда форума
я может не в теме, но ху из Кос?

update, уже нашел. дело не в том решу я или не решу, понятное дело что, я знаю Как Минимум надо делать и как делают некоторые остальные компании на рынке.
я тут скорее за умными мыслями, Что Еще можно сделать :)
 
Фанат

Фанат

oncle terrible
Команда форума
craz
В этом топике нет никакой "проблемы", которую можно "решить". С точки зрения "решения", оно у обоих авторов уже есть, если кто не заметил. Вопрос несколько в другом. Множество решений в данном случае потенциально бесконечно.

akd
Имеется в виду недавний топик, который тоже требует некоторых умственных усилий, знаний и опыта, и по этой причине, разумеется, остался без ответа. Осмысленного ответа, я имею в виду.
 

untied

Сдвинутый новичок
akd написал(а):
расскажите кто внедрял в последнее время какие-нибудь анти-фишинговые штуки, на что нужно обращать внимание? :)

то, что внедряем сейчас.
- сертификат с EV (Thawte или Verisign), и на логине картинки пользователю, на что обратить внимание.
- двух-фазовый логин (сначала логин + пароль, потом сгенеренный токен из мыла или смс)
- следим за изменением IP и авторизуем (так работает, например, у вебманей)
- следим за двойными входами, как за потенциальной потерей контроля.
- каждая операция подписывается токеном как и логин
- периодически рассылаем пользователям мыло, с информацией что, никогда не требуем у них данные.
- периодически выбрасываем такие-же уведомления в личном кабинете.

поделитесь, кто еще чем занимается для отлова товарисчей волков?
Нажмите для раскрытия...
А можно из любопытства спросить, что именно вы такой стеной защищаете? (исключительно для расширения кругозора)
 

MiksIr

miksir@home:~$
Мне кажется, что рассылка мыла может быть скорее вредна с точки зрения замыливания внимания пользователя. Привыкнув к вашим мылам вероятность того, что человек жмахнет по ссылке из очередного поддельного мыла велика. Но могу ошибаться.
А вообще интересно было бы что-то вроде мониторинга операций или даже входа через смс с возможностью быстрого блокирования всех операций на какой-то интервал времени хотя бы через тот же смс. + Неожиданные контрольные вопросы в случае нарушения паттерна поведения (смена того-же IP или нестандартное время суток входа или подозрительные операции, такие как вывод всего бабла и т.п.). Но это, простите, рассуждения нуба, опыта не имел ;)
 
akd

akd

dive now, work later
Команда форума
нормальные рассуждения, спасибо.
по смскам идея хорошая, проблема только найти хорошего провайдера смсного сервиса. в рамках одной страны проблем не возникает особо, но как только выходишь количесвто стран > 1 начинаются интересные штуки. :)
в любом случае спасибо .. возможно добавим дополнительную авторизацию на операции, где сумма >= ~80-90% баланса.
 
akd

akd

dive now, work later
Команда форума
iceman такое пока будет только для крупных клиентов бесплатно, потом предложим всем за себестоимость.
 
Raziel[SD]

Raziel[SD]

untitled00
akd написал(а):
нормальные рассуждения, спасибо.
по смскам идея хорошая, проблема только найти хорошего провайдера смсного сервиса. в рамках одной страны проблем не возникает особо, но как только выходишь количесвто стран > 1 начинаются интересные штуки. :)
в любом случае спасибо .. возможно добавим дополнительную авторизацию на операции, где сумма >= ~80-90% баланса.
Нажмите для раскрытия...
для расширения кругозора: какие например ?
 
akd

akd

dive now, work later
Команда форума
1. тупо не доходят смски. нам пришлось работать через двух разных провайдеров .. если не доходит через одного, отправлять через второго. в случае россии, например, от одного из провайдеров не доходят смски на пчелайн, от второго не доходят тоже, но на какого-то другого оператора уже. вопсчем веселый звиздец. :)
2. доставка в некоторые страны, через какие-то жопные костыли. например, штаты. стоит сравнительно много денег и никто ничего не гарантирует.

это две самых критичных штуки, были еще какие-то мелочи.
 
Войдите или зарегистрируйтесь для ответа.
Сверху