Как app attestation поможет, если фишер заходит со своего реального (веб-/мобильного) приложения? Ему уже передали логин/пароль и SMS-код. Пусть хоть со сбербука с предустановленным MAX заходит. И, конечно, он не обязан заходить с IP, совпадающим с IP хостинга, может зайти с прокси/из-за рубежа и т.д.
Как push-confirmation поможет, если человек своими руками вводит SMS-код? Или если SMS-код он ввёл, то он не нажмёт в приложении "Подтверждаю вход"? Показ в приложении геопозиции попытки входа решается проксированием запроса на основании IP жертвы.
Причем тут "лимит по таргет-номеру"? Когда жертва авторизуется на фишинг-ресурсе, она один раз получает сообщение от MAX и вводит код.
Защиту от классического фишинга с подменой адреса если и стоит встраивать, то в браузерные клиенты, с которых жертвы обычно авторизуются. Да и туда непонятно как их засунуть, например, проверка "свежести" домена обходится "отстаиванием" доменов до безопасного состояния.
Подводя итог, с точки зрения безопасности мессенджера та безопасность, которую обеспечили разработчики, достаточна для того, чтобы у клиента не увели аккаунт, если он всего лишь смотрит на адрес ресурса. Лично я считаю это достаточным уровнем, который обеспечивает любой популярный мессенджер. Это аналогично человеку, по своей воле передающему кому-то деньги в пакете -- при большом желании он всё равно это сделает, и я не представляю способа, как пакет мог бы его спасти.
Как app attestation поможет, если фишер заходит со своего реального (веб-/мобильного) приложения? Ему уже передали логин/пароль и SMS-код. Пусть хоть со сбербука с предустановленным MAX заходит. И, конечно, он не обязан заходить с IP, совпадающим с IP хостинга, может зайти с прокси/из-за рубежа и т.д.
Как push-confirmation поможет, если человек своими руками вводит SMS-код? Или если SMS-код он ввёл, то он не нажмёт в приложении "Подтверждаю вход"? Показ в приложении геопозиции попытки входа решается проксированием запроса на основании IP жертвы.
Причем тут "лимит по таргет-номеру"? Когда жертва авторизуется на фишинг-ресурсе, она один раз получает сообщение от MAX и вводит код.
Защиту от классического фишинга с подменой адреса если и стоит встраивать, то в браузерные клиенты, с которых жертвы обычно авторизуются. Да и туда непонятно как их засунуть, например, проверка "свежести" домена обходится "отстаиванием" доменов до безопасного состояния.
Подводя итог, с точки зрения безопасности мессенджера та безопасность, которую обеспечили разработчики, достаточна для того, чтобы у клиента не увели аккаунт, если он всего лишь смотрит на адрес ресурса. Лично я считаю это достаточным уровнем, который обеспечивает любой популярный мессенджер. Это аналогично человеку, по своей воле передающему кому-то деньги в пакете -- при большом желании он всё равно это сделает, и я не представляю способа, как пакет мог бы его спасти.