علیرغم این واقعیت که فناوریهای امنیتی همچنان در حال بهبود هستند، فیشینگ به طور مداوم یک تهدید باقی میماند، به همین دلیل است که Google راههای مختلفی را برای مبارزه با فیشینگ در Google I/O 2022 اعلام کرده است.
غول جستوجو برای محافظت از کاربران خود در برابر حملات فیشینگ، حفاظتهای فیشینگ را به Google Docs، Sheets و Slides مقیاس میدهد و همچنین به ثبت نام خودکار کاربران در تأیید صحت 2 مرحلهای ادامه میدهد.
از آنجایی که کسب و کارها و کاربران نهایی از خطرات فیشینگ بیشتر آگاه شدهاند، احراز هویت چند عاملی (MFA) به تمرکز ویژهای برای مجرمان سایبری تبدیل شده است. به عنوان مثال، آنها سعی میکنند با دنبال کردن یک «رمز یکبار مصرف» قانونی و با یک پیام جعلی که از کاربر میخواهد «با کدی که دریافت کردهاید پاسخ دهید» ، به طور مستقیم کدهای پیامکی را فیش کنند.
بر اساس یک پست وبلاگ جدید از Google، مهاجمان همچنین از صفحات فیشینگ داینامیک پیچیدهتر برای حمله به جایی که کاربر فکر میکند وارد یک سایت قانونی میشود، استفاده میکنند. با این حال، مهاجمان به جای استقرار یک صفحه فیشینگ استاتیک ساده که اطلاعات کاربری یک کاربر را میدزدد، یک سرویس وب را مستقر میکنند که در همان زمانی که کاربر درگیر یک صفحه فیشینگ میشود، به وبسایت واقعی وارد میشود.
جلوگیری از این نوع حملات بسیار چالش برانگیز است زیرا چالشهای احراز هویت که به مهاجم نشان داده میشود (مانند درخواست یک کد SMS ) به قربانی نیز منتقل میشود. سپس پاسخ قربانی به وب سایت واقعی بازگردانده می شود و مهاجم در واقع از آن ها برای حل هر گونه چالش احراز هویت دیگری که ممکن است ایجاد شود، استفاده میکند.
احراز هویت مقاوم در برابر فیشینگ
در حالی که کلیدهای امنیتی مانند کلید امنیتی Titan که مختص به گوگل است، میتوانند با تأیید هویت وبسایتی که کاربران وارد آن میشوند از فیشینگ جلوگیری کنند، اما همه نمیخواهند یک دستگاه فیزیکی اضافی برای ورود به همه حسابهای آنلاین خود همراه داشته باشند.
در این زمان، گوگل همچنین در تلاش است تا چالشهای سنتی Google Prompt خود را با فیشینگ مقاومتر کند و از کاربران میخواهد علاوه بر کلیک کردن روی «اجازه» یا «رد کردن»، یک کد پین را با آنچه روی صفحه میبینند، مطابقت دهند.
