¿Cómo desarrollador web puedo evitar ataques de phishing proxy con una herramienta como Evilginx?
¿Cómo desarrollador web puedo evitar ataques de phishing proxy con una herramienta como Evilginx?
Actualmente, solo hay una manera infalible de evitar el phishing, y es usar U2F o webauthn. Esto funciona porque el navegador está incorporado en la autenticación. Envía la url de la página al token junto con la solicitud de autenticación, y si no coincide, la verificación fallará cuando el proxy la reenvíe a su servidor. Con U2F, ya que es un factor segundo , el usuario ya habrá entregado su contraseña, lo cual no es ideal, pero al phisher se le impedirá al menos autenticar.
Como desarrollador, podría obligar al usuario a utilizar una de estas herramientas, que puede funcionar bien en un entorno interno de la empresa, pero puede que no sea bien recibido para un sitio web público. Lo mejor que puede hacer razonablemente es anunciar su soporte para estos mecanismos e informar a los usuarios de los beneficios.
Al ampliar la pregunta, esencialmente está preguntando "cómo evitar que los usuarios accedan a un sitio web de suplantación de identidad", ya que no hay nada que pueda hacer para evitarlo a nivel técnico. El servidor proxy parece ser otro cliente que accede al sitio web. Incluso si fue capaz de proporcionar capacitación sobre el reconocimiento de phishing a todos sus usuarios potenciales, todavía no es posible evitar todos los ataques.
Incluso si fuera posible detectar que había un proxy malicioso, el atacante podría configurar una versión clonada del sitio web.
Lea otras preguntas en las etiquetas man-in-the-middle proxy