Come uno sviluppatore web posso impedire l'attacco del phishing tramite uno strumento come Evilginx?
Come uno sviluppatore web posso impedire l'attacco del phishing tramite uno strumento come Evilginx?
Attualmente esiste un solo modo infallibile per prevenire il phishing, e questo è usare U2F o webauthn. Funziona perché il browser è incorporato nell'autenticazione. Invia l'url della pagina al token insieme alla richiesta di autenticazione e, se non corrisponde, la verifica fallirà quando il proxy lo inoltra al server. Con U2F, poiché è un fattore secondo , l'utente avrà già dato la sua password, che non è l'ideale, ma il phisher almeno sarà impedito dall'autenticazione.
Come sviluppatore, potresti costringere l'utente a utilizzare uno di questi strumenti, che può funzionare bene in un ambiente aziendale interno, ma potrebbe non essere ben accolto per un sito Web pubblico. Il meglio che puoi fare è pubblicizzare il tuo supporto per questi meccanismi e informare gli utenti dei vantaggi.
Espandendo la domanda, stai essenzialmente chiedendo "come impedire agli utenti di visitare un sito di phishing", poiché non c'è nulla che tu possa fare per impedirlo a livello tecnico. Il server proxy sembrerebbe essere un altro client che accede al sito. Anche se sei stato in grado di fornire formazione sulla consapevolezza del phishing a tutti i tuoi potenziali utenti, non è ancora possibile impedire tutti gli attacchi.
Anche se fosse possibile rilevare l'esistenza di un proxy maligno, l'utente malintenzionato potrebbe invece impostare una versione clonata del sito Web.
Leggi altre domande sui tag proxy man-in-the-middle