Атака «людина в браузері»Людина в браузері (англ. Man-in-the-browser, скорочено MITB, MitB, MIB), форма інтернет-загрози, походить з людини посередині (MITM), є трояном[1], який заражає веббраузер, спричиняючи уразливість в безпеці браузера. Це робиться, щоб змінювати вебсторінки, вміст повідомлень або створювати додаткові операції. Всі ці дії виконуються в повністю прихованому режимі, невидимому для користувача і вебсервера. Атака MitB матиме успіх попри наявність механізмів захисту як TLS чи PKI. Атаки MitB можуть бути протиставлені шляхом використання перевірки транзакції поза зоною, хоча навіть СМС перевірка може інфікувати телефон шкідливою програмою. Троян може бути виявленим і видаленим за допомогою антивірусного програмного забезпечення[2] з ймовірністю успіху 23 % проти Zeus в 2009 році,[3] але вже з нижчим показником в 2011.[4] У доповіді 2011 року дійшли висновку, що до необхідності введення додаткових заходів, по відношенню до верхніх шарів антивірусу.[4] З цим пов'язана більш проста атака, BitB[5]. Більшість професіоналів в сфері фінансових послуг, за результатами досліду, вважають атаку «людина в браузері» великою загрозою для онлайн-банкінгу. ВизначенняПід час атаки «людина в браузері», троян впроваджується в операційну систему або програму та встановлює розширення браузера. Усі зміни запускаються при наступному старті інтернет-оглядача. Зазвичай «людина в браузері» з'являється в образі об'єктів, модулів підтримки (Browser Helper Object), елементів керування ActiveX[6], розширень для браузера, доповнень, плагінів чи перехваті API функцій. Потім, у випадку звичайної, не універсальною атаки, при кожному завантаженні вебсторінки в браузер, шкідливе розширення перевіряє інтернет-адресу і завантажує сторінки в свій список сайтів-мішеней. Якщо знаходиться відповідність — розширення перехоплює або модифікує дані, введені в вебформи на цільовому сайті і відправлені до вебсерверу, розповіли фахівці з eScan[7].
Згідно з інформацією, представленою Trusteer[8], універсальний тип атак «людина-в-браузері» не орієнтований на конкретні сайти. Подібні програми можуть обійти багатофакторну автентифікацію. Як тільки вебсайт банку підтвердить правильність введених клієнтом логіну і пароля, троян підмінить дані транзакції. Шкідливий код також здатний забезпечити видимість успішного завершення транзакції, підміняючи зміст, зображений браузером. «Людина в браузері» — дуже підступний тип атак, тому що ні банк, ні користувач не можуть виявити її, незважаючи на багатофакторну автентифікацію, капчі або застосування інших способів автентифікації. Експерти з безпеки виявили, що більшість інтернет-користувачів (73 %) не може розрізнити реальні і підроблені спливаючи попередження, а також не здатні розпізнати контент, створений шкідливим програмним забезпеченням. Реалізуючи даний тип атак, шкідливе розширення браузера збирає всі дані, введені жертвою на будь-яких вебсайтах. При цьому не потрібна додаткова обробка зібраної інформації для виділення автентифікаційних та інших визначених хакером даних, тобто «універсальна атака людина-в-браузері» проводиться в режимі реального часу. «Збір в реальному часі всієї інформації, що вводиться користувачем на відвідуваних сайтах, істотно розширює можливості хакерів по викраденню фінансових акаунтів, — прокоментували відкриття Trusteer[8] експерти eScan[7] в Росії і країнах СНД. — Раніше хакери, що використовували атаки „людина-в-браузері“, були обмежені по числу цільових сайтів, або їм було потрібно витрачати додатковий час на витягнення ідентифікаційних даних з усієї маси зібраної інформації. Тепер же перехоплені дані можуть використовуватися негайно, наприклад, відразу ж застосовуватися для вчинення незаконних переказів або продаватися на „чорному“ ринку. Свіжа, актуальна інформація для хакерів завжди найбільш цінна». Приклади атакІн'єкція командКорисна в тих випадках, коли автентифікація проводиться лише один раз. В таких випадках перехоплення пакетів даних, які передаються між двома комп'ютерами, є марним, але імовірність викрадення вже авторизованої сесії є мінімальною. Загрози:
Шкідливе впровадження кодуВставка шкідливого коду в вебсторінки або електронною поштою (JavaScript, троянів, вірусів…). Загрози:
Атака «людина в мобільному»Шпигунські мобільні віруси типу «людина в мобільному» (англ. man-in-the-mobile, MitMo[9]) можуть подолати позасмугову СМС перевірку транзакцій.[10]
ЗахистЗахист від атак «людина в браузері» пов'язаний зі значними труднощами, оскільки шкідливе розширення браузера діє як можна більш непомітніше. Експерти рекомендують користувачам наступні методи боротьби з даною загрозою:
На жаль, кінцеві споживачі все ще уразливі для атак типу «людина посередині». Найбільш ефективним контрзаходом вважається автентифікація по зовнішньому каналу (Out-Of-Band, OOB), оскільки зловмисник, що застосовує методику MITM, протоколює лише один канал зв'язку. ООВ передбачає окремий канал для аутентифікації, щоб верифікувати і авторизувати транзакції з високим ризиком. Система ООВ передає користувачеві інформацію про транзакції, наприклад, електронною поштою, SMS або телефоном, і для підтвердження отримання вимагає введення прикладеного одноразового пароля.
Примітки
Див. також
Посилання
|