Блог

Какво представляват атаките Man in the Browser и как да ги предотвратим

Какво представлява атаката Man in the Browser

Може би сте чували за атаките на Man in the Middle (MitM). Атаката 'Човек по средата' е точно това: трета страна седи между две страни и препредава съобщенията, изпратени между тях. Тъй като е човекът по средата, нападателят може не само да преглежда съобщенията, които се изпращат и получават, но и да ги променя.

Подвид на MitM атаките е атаката Man in the Browser (MitB). MitB атаката е подобна на MitM атака, но MitB атаката е ограничена до вашия уеб браузър, а не за цялата система. Това обаче не го прави по-безопасен.

При MitB атака нападателят се намира между уеб браузъра на потребителя и целевите сървъри. Подобно на MitM атака, нападателят може да преглежда съобщенията, обменени между браузъра и целевите сървъри, и да променя тези съобщения. Това е много сериозна атака, която обикновено се използва за банкови измами и измами с кредитни карти.

В тази статия ще обясним как работят MitB атаките и как можете да се защитите срещу тях. Също така ще предоставим примери за атака на MitB по пътя.

Какво представлява атаката на човек в браузъра (MitB)?

Една от най-големите разлики между MitM атака и MitB атака е, че последната се извършва на приложния слой (прихващане и промяна на съдържанието на браузъра), вместо на мрежовия слой (прихващане и модифициране на пакети с данни по време на транзит). Това означава, че атаката може да успее независимо от това дали сайтът, който разглеждате, е защитен с SSL (HTTPS).

Първата стъпка за извършване на MitB атака е да заразите целевия компютър със зловреден софтуер. Целевият компютър трябва да бъде предварително заразен със зловреден софтуер, преди да може да бъде извършена MitB атаката. Това обикновено е троянски кон. След като целевата система бъде успешно заразена, троянският кон ще промени браузъра на потребителя, обикновено по един от двата начина:

  • Чрез стартиране на злонамерен скрипт, който конфигурира уеб браузъра на жертвата да използва прокси сървър, контролиран от нападателя.
  • Чрез инсталиране на компрометирано разширение за уеб браузър, контролирано от нападателя.

И в двата случая това предоставя на атакуващия възможността да преглежда съобщенията, изпращани и получавани от заразения браузър, и да ги променя.

Потребителят няма да получи никакви намеци, че нещо не е наред. URL адресът в горната част на браузъра ще бъде правилен, така че проверката му няма да предотврати атаката и, ако е активирано, предупрежденията за „злонамерен сайт“ на браузъра няма да бъдат задействани. Уеб страницата ще изглежда напълно легитимна, въпреки че току-що е била подправена от нападателя.

Социалното инженерство е векторът на атаката

Както при много, ако не и повечето онлайн атаки, социалното инженерство е мястото, където всичко започва. Когато компютърът ви е заразен с троянски кон MitB, входната точка обикновено е някаква форма на социално инженерство. Фалшива публикация във Facebook, имейл със спам със злонамерена връзка или прикачен файл, измамен изскачащ прозорец и др.

Интернет е враждебно място. Не бъдете твърде доверчиви – няма недостиг на онези, които чакат да злоупотребят с доверието ви онлайн. Отнасяйте се към интернет като към една голяма подвеждаща реклама и винаги гледайте дребния шрифт.

Ще предоставим някои съвети за избягване на троянски коне към края на тази статия.

Пример за атака на човек в браузъра

Успешна MitB атака може да контролира браузъра на жертвата, както следва:

  • Добавете нови колони/полета в уебсайта или променете съществуващите полета.
  • Променете външния вид на уебсайта.
  • Променете въвеждането на формата на жертвата (страници за плащане, формуляри за вход и т.н.).
  • Прихващане на данните, предадени от потребителя към уебсайта и обратно.
  • Променете отговорите на сървърите, неща като съобщения за потвърждение и разписки.
  • Премахнете следите от измамната транзакция, когато потребителят впоследствие посети сайта.

Успешна MitB атака може също така да открадне вашата сесия (да открадне бисквитките ви, за да заобиколите влизанията) или да извърши атака за повторение.

Човек в потока от атаки на браузъра

Ето как може да изглежда обичайната MitB атака:

  1. Компютърът на жертвата е заразен с троянски кон MitB чрез някаква форма на социално инженерство/фишинг (фалшива публикация във Facebook, спам имейл с фалшива връзка или прикачен файл и т.н.).
  2. Троянският кон продължава да променя браузъра на жертвата, като използва един от методите по-горе (разширение на браузъра/прокси сървър).
  3. Жертвата влиза в банковия си уебсайт, за да прехвърли малко средства по сметката на майка си.
  4. Нападателят може да види всичко, което се изпраща и получава от браузъра на жертвата.
  5. Жертвата въвежда цялата необходима информация за прехвърляне на средствата и потвърждава превода.
  6. Тъй като заявката на жертвата се предава на банката, тя се прихваща и модифицира от нападателя, за да прехвърли средствата в сметка, контролирана от нападателя, а не в сметката на майката на жертвата.
  7. Нападателят изпраща на жертвата легитимно изглеждаща страница за потвърждение, в която се посочва, че исканият трансфер е бил успешен.

Може да отнеме дни, преди жертвата да разбере, че средствата не са преведени по предвидената сметка. И когато го направят, може да не заподозрат веднага, че проблемът е в техния браузър. И банката ще заяви, че е получила искане средствата да бъдат преведени по сметката на нападателя. И те ще кажат истината. До този момент акаунтът вероятно ще бъде затворен и субектът зад него ще бъде невъзможно да бъде проследен и вероятно няма да е бил истински човек в началото.

Горното е само пример. MitB атаките не следват фиксирана схема, освен че са неприятни атаки, които са насочени към вашата финансова информация. В горния пример атакуващият би могъл да вмъкне ново текстово поле за допълнителна лична информация, която да бъде въведена на уебсайта на банката, за да събере тази информация, за да извърши друга атака на по-късна дата.

Почти всичко става...

Примери от реалния свят за троянски коне MitB

Захванат

Захванат е известен банков троянски кон Man in the Browser. Той е проектиран да събира и предава лична информация – по-точно банкова информация – от компютъра на жертвата към сървър, контролиран от нападателя. Този вид троянски кон е насочен специално към компютри с Windows и е наблюдаван за първи път през 2007 г.

SpyEye

Троянският кон SpyEye засяга Google Chrome, Opera, Internet Explorer и Firefox на Windows системи. Освен че предоставя на атакуващия достъп до компрометирания компютър, троянът работи и като кийлогър. Keylogger записва натисканията на клавишите на компютърния потребител, за да получи идентификационни данни и чувствителна информация като номера на кредитни карти.

Троянският кон SpyEye може да вмъква нови текстови полета в уеб страницата, която жертвата разглежда, и може също така да променя легитимните текстови полета на уеб страницата. Това позволява на троянския кон да подкани потребителя за чувствителна информация и да премахне пароли, потребителски имена, банкови сметки и номера на кредитни карти. SpyEye може дори да покаже фалшивия баланс на потребителя, като същевременно скрие измамните транзакции от него.

Троянът SpyEye произхожда от Русия през 2009 г., когато се продава в Тъмната мрежа на цени над 500 долара.

Carberp

Открит за първи път в дивата природа през 2009 г., троянският кон Carberp е предназначен за насочване Facebook . Carberp може да проверява състоянието на вашата интернет връзка, да се свързва с отдалечени сайтове през интернет, да изтегля друг зловреден софтуер и да изпълнява файлове. Доста гадно.

Ако потребител със заразен уеб браузър влезе във Facebook, той ще замени всяка страница, посетена от жертвата, със страница, в която се посочва, че акаунтът на жертвата във Facebook е бил временно заключен. Освен това той поиска име на потребителя, дата на раждане, имейл адрес и парола, както и 20 евро, за да потвърди самоличността си и да отключи акаунта.

Положителната страна е, че знаем къде се инсталира този троян, така че винаги можете да проверите дали сте били заразени:

  • /ProgramFilesNVIDIA CorporationUpdates
  • /ProgramFilesNVIDIA CorporationUpdate Center

Зевс

Троянският кон Zeus, известен още като ZeuS и Zbot, заразява компютри, работещи под Microsoft Windows. Подобно на SpyEye, финалната игра на Zeus е да събере финансова информация чрез keylogging и формуляр.

Троянският кон Zeus обикновено се разпространява чрез изтегляния от устройство и социално инженерство/фишинг. Изтеглянето от устройството е изтегляне, което несъзнателно възниква при изтегляне на нещо друго. Добър пример за това е автоматичното инсталиране на Google Chrome, когато инсталирате друга програма, като CCleaner, на компютри с Windows. В случая на Chrome изтеглянето от устройството е безобидно, но също толкова лесно може да бъде злонамерен софтуер.

Zeus беше открит за първи път през юли 2007 г., когато беше установено, че е заразил Министерството на транспорта на Съединените щати. До 2009 г. беше установено, че Зевс е заразил организации като Bank of America, Amazon, NASA и Oracle .

Как да открием MitB атака?

Един от най-неприятните аспекти на атаката на Man in the Browser е, че е почти невъзможно да се открие. Когато станете жертва на MitB атака, няма нови процеси за откриване или фънки URL адреси, които можете да проверите. Всичко изглежда както трябва.

Въпреки това, все още има няколко фини подаръци, които могат да предизвикат тревога. Тези съвети не се отнасят само за MitB атаките и може да са симптом на нещо различно. Така или иначе, все пак си струва да внимавате за следното:

  • Забелязвате допълнителни или липсващи елементи на уеб страница
  • Получавате известие за влизане от устройство, което не разпознавате
  • Внезапно сте излезли от акаунта си
  • Вашата антивирусна програма открива зловреден софтуер на вашия компютър

Как да предотвратим атаките на Man in the Browser?

Страхувам се, че не можем да направим много, за да се предпазим от MitB атаки. Но това не означава, че не можете да направите нищо по въпроса. Просто това, което можете да направите, е относително доброкачествено.

Ето кратък списък с това, което организациите и отделните лица могат да направят, за да смекчат атаките на MitB.

организации

Управление на потребителски акаунти

За да сведат до минимум възможностите за MitB атаки, организациите трябва да прилагат строги разрешения за потребителски акаунти, за да предотвратят ескалация на привилегии. Това ще ограничи щетите, ако MitB атака е успешна.

Информираност на потребителите

Организациите трябва да предоставят основно обучение за онлайн сигурност на своя персонал, обхващащо теми като социално инженерство и как да се открие компрометиран компютър, наред с други неща.

Физически лица

Проверете обичайните места за съхранение на троянски коне

Много троянски коне MitB се намират на едно и също място на вашия компютър. Проверете следните директории за неизвестни приложения. Ако намерите нещо непознато, потърсете го в интернет и го сканирайте с антивирусен софтуер.

Местата, които трябва да проверите са:

  • C:/Програмен файл
  • C:/Програмни файлове (x86)
  • C:/Windows/Temp

Не оставяйте уеб браузъра си отворен

Трябва да затворите браузъра си, когато приключите с използването му. Тъй като MitB атаката се съдържа във вашия уеб браузър, затварянето на браузъра прекъсва атаката. Може да е грубо, но работи – дори ако полезността му е ограничена.

По-добре избягвайте напълно троянските коне...

Както можете да видите, горните мерки са много ограничени по обхват. Най-добрият ви залог е да избягвате троянските коне на първо място. Бих препоръчал да прочетете нашата специална статия за Троянски кон злонамерен софтуер за повече информация. Но ето основните изводи от тази статия за това как да избягвате троянски коне.

Въпреки че нищо не е 100%, тези съвети на здравия разум трябва да помогнат.

  • Инсталирайте антивирусна програма и я конфигурирайте да изпълнява сканирания на редовни интервали. Много антивирусни продукти могат да открият MitB троянски коне.
  • Използвайте защитна стена: Всички основни операционни системи имат вградена входяща защитна стена и всички търговски рутери на пазара имат вградена NAT защитна стена. Уверете се, че сте ги активирали.
  • Никога не кликвайте върху изскачащи прозорци.
  • Ако вашият браузър показва предупреждение за уебсайт се опитвате да получите достъп, трябва да обърнете внимание и да получите информацията, от която се нуждаете, другаде.
  • Никога не изтегляйте пиратски софтуер – безплатните продукти може да звучат примамливо, но не забравяйте, че тези, които ги качват, често се стремят да спечелят пари, като компрометират сами вашата система или продават информацията ви на други уеб мошеници.
  • Купувайте само добре прегледан и оригинален софтуер за сигурност от законни доставчици.
  • Отваряйте прикачени файлове към имейл само ако имате доверие на подателя и сте сигурни, че можете да потвърдите самоличността им – вирусите идват по пощата и затова винаги е добра идея да сканирате цялата си входяща поща с антивирусна програма.
  • Поддържайте програмите си актуални . Зловреден софтуер и вируси обикновено се опитват да използват пропуски в сигурността, открити в остарелия софтуер.
  • Правете редовно архивиране на вашия компютър.
  • Ако получите имейл с искане за информация, докато твърдите, че сте от официална организация, с която имате връзка, прочетете го много внимателно, преди да направите нещо . Има ли правописни и граматически грешки? Има ли излъчване на неотложност? Това са класически признаци за опит за фишинг. И не забравяйте, че вашата банка или правителство никога няма да поискат да им изпратите чувствителна информация по имейл.
  • Не кликвайте върху връзки (URL адреси) в имейли освен ако не знаете точно кой е изпратил URL адреса и към къде води. И дори тогава, разгледайте внимателно връзката. Дали това е HTTP или HTTPS връзка? Повечето законни сайтове използват HTTPS днес. Връзката съдържа ли правописни грешки (gooogle вместо google)? Ако можете да стигнете до дестинацията, без да използвате връзката, направете го вместо това.

Обобщавайки

Така че това е ниската оценка на атаките на Man in the Browser. Те са трудни за откриване и защита срещу тях. Вашият най-добър залог е бдителност и здравословна степен на подозрение, когато сте онлайн. Това може да бъде трудно да се направи, когато сте доверен човек. Но в интернет подозрението е основателно. Поне на това можеш да се довериш.

Бъдете в безопасност (онлайн).

^