Come prevenire l'attacco del phishing tramite tool come Evilginx? [chiuso]

-1

Come uno sviluppatore web posso impedire l'attacco del phishing tramite uno strumento come Evilginx?

    
posta SecQuestionnA 05.08.2018 - 08:10
fonte

2 risposte

3

Attualmente esiste un solo modo infallibile per prevenire il phishing, e questo è usare U2F o webauthn. Funziona perché il browser è incorporato nell'autenticazione. Invia l'url della pagina al token insieme alla richiesta di autenticazione e, se non corrisponde, la verifica fallirà quando il proxy lo inoltra al server. Con U2F, poiché è un fattore secondo , l'utente avrà già dato la sua password, che non è l'ideale, ma il phisher almeno sarà impedito dall'autenticazione.

Come sviluppatore, potresti costringere l'utente a utilizzare uno di questi strumenti, che può funzionare bene in un ambiente aziendale interno, ma potrebbe non essere ben accolto per un sito Web pubblico. Il meglio che puoi fare è pubblicizzare il tuo supporto per questi meccanismi e informare gli utenti dei vantaggi.

    
risposta data 06.08.2018 - 04:55
fonte
1

Espandendo la domanda, stai essenzialmente chiedendo "come impedire agli utenti di visitare un sito di phishing", poiché non c'è nulla che tu possa fare per impedirlo a livello tecnico. Il server proxy sembrerebbe essere un altro client che accede al sito. Anche se sei stato in grado di fornire formazione sulla consapevolezza del phishing a tutti i tuoi potenziali utenti, non è ancora possibile impedire tutti gli attacchi.

Anche se fosse possibile rilevare l'esistenza di un proxy maligno, l'utente malintenzionato potrebbe invece impostare una versione clonata del sito Web.

    
risposta data 06.08.2018 - 04:37
fonte

Leggi altre domande sui tag