Ученые из Стэндфордского университета представили программное обеспечение, препятствующее осуществлению фишинговых атак при работе с банковскими и другими сайтами. Программа PwdHash хэширует пароль и имя домена на сайте таким образом, что гарантируется подлинность узлового сайта, т.е. сайт не создан злоумышленником для фишинговой атаки.

Фишинг — распространенный тип сетевого мошенничества, целью которого является похищение конфиденциальной информации: имени пользователя, паролей, данных о кредитных картах. Схемы атак комбинируют со спамом и мошенническими веб-страницами, которые в дизайне ничем не отличаются от оригинальных.

«В результате фишинга обманутые пользователи отсылают свои пароли на ложный сайт, — говорит разработчик PwdHash Дэн Боней (Dan Boneh), профессор вычислительной техники и электротехники. — Так как часто пользователи интернета пользуются одним паролем на нескольких сайтах, фишинг-атака на один из сайтов выявляет пароли и для других сайтов». Боней и его коллега Джон Митчелл (John Mitchell) уверяют, что могут изменить ситуацию.

Их научно-исследовательская группа разработала расширение к популярным браузерам, которое хэширует пароли. Для этого пользователям перед вводом пароля нужно ввести «@@» или нажать F2. После того как секретные данные зашифрованы, PwdHash проверяет имя домена, с которым взаимодействует клиент, и начинает передачу данных только в том случае, если домен подлинный.

Пользователи могут при помощи PwdHash изменить пароли на сайтах, где они имеют счета. Разработчики предупреждают о том, что PwdHash не работает с навигатором AOL и не может защитить пользователей от так называемых клавиатурных шпионов.

Группа разработала еще одно расширение — SpoofGuard. Он может точно распознать нелегальные страницы и предупредить пользователей об этом при их посещении. После установки SpoofGuard пользователь должен только следить за экраном и не заходить на фишинг-сайты.