Атака «людина в браузері»

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Людина в браузері (англ. Man-in-the-browser, скорочено MITB, MitB, MIB), форма інтернет-загрози, походить з людини посередині (MITM), є трояном[1], який заражає веб-браузер, спричиняючи уразливість в безпеці браузера. Це робиться, щоб змінювати веб-сторінки, вміст повідомлень або створювати додаткові операції. Всі ці дії виконуються в повністю прихованому режимі, невидимому для користувача і веб-сервера. Атака MitB матиме успіх попри наявність механізмів захисту як TLS чи PKI.

Атаки MitB можуть бути протиставлені шляхом використання перевірки транзакції поза зоною, хоча навіть СМС перевірка може інфікувати телефон шкідливою програмою. Троян може бути виявленим і видаленим за допомогою антивірусного програмного забезпечення[2] з ймовірністю успіху 23 % проти Zeus в 2009 році,[3] але вже з нижчим показником в 2011.[4]

У доповіді 2011 року дійшли висновку, що до необхідності введення додаткових заходів, по відношенню до верхніх шарів антивірусу.[4] З цим пов'язана більш проста атака, BitB[5]. Більшість професіоналів в сфері фінансових послуг, за результатами досліду, вважають атаку «людина в браузері» великою загрозою для онлайн-банкінгу.

Визначення[ред. | ред. код]

Під час атаки «людина в браузері», троян впроваджується в операційну систему або програму та встановлює розширення браузера. Усі зміни запускаються при наступному старті інтернет-оглядача. Зазвичай «людина в браузері» з'являється в образі об'єктів, модулів підтримки (Browser Helper Object), елементів керування ActiveX[6], розширень для браузера, доповнень, плагінів чи перехваті API функцій. Потім, у випадку звичайної, не універсальною атаки, при кожному завантаженні веб-сторінки в браузер, шкідливе розширення перевіряє інтернет-адресу і завантажує сторінки в свій список сайтів-мішеней. Якщо знаходиться відповідність — розширення перехоплює або модифікує дані, введені в веб-форми на цільовому сайті і відправлені до веб-серверу, розповіли фахівці з eScan[7].

« «Таким чином, шкідлива програма бере під свій контроль весь трафік, що проходить між комп'ютером користувача і веб-сервером, який обслуговує певний сайт, найчастіше — сайт будь-якого фінансового сервісу, — пояснили експерти eScan. — Це дозволяє зловмисникам перехоплювати паролі для входу в систему онлайн-банкінгу або ж підміняти дані вчиненої транзакції з метою перенаправлення грошових коштів на хакерський рахунок». »

Згідно з інформацією, представленою Trusteer[8], універсальний тип атак «людина-в-браузері» не орієнтований на конкретні сайти. Подібні програми можуть обійти багатофакторну автентифікацію. Як тільки веб-сайт банку підтвердить правильність введених клієнтом логіну і пароля, троян підмінить дані транзакції. Шкідливий код також здатний забезпечити видимість успішного завершення транзакції, підміняючи зміст, зображений браузером. «Людина в браузері» — дуже підступний тип атак, тому що ні банк, ні користувач не можуть виявити її, незважаючи на багатофакторну автентифікацію, капчі або застосування інших способів автентифікації. Експерти з безпеки виявили, що більшість інтернет-користувачів (73 %) не може розрізнити реальні і підроблені спливаючи попередження, а також не здатні розпізнати контент, створений шкідливим програмним забезпеченням. Реалізуючи даний тип атак, шкідливе розширення браузера збирає всі дані, введені жертвою на будь-яких веб-сайтах. При цьому не потрібна додаткова обробка зібраної інформації для виділення автентифікаційних та інших визначених хакером даних, тобто «універсальна атака людина-в-браузері» проводиться в режимі реального часу. «Збір в реальному часі всієї інформації, що вводиться користувачем на відвідуваних сайтах, істотно розширює можливості хакерів по викраденню фінансових акаунтів, — прокоментували відкриття Trusteer[8] експерти eScan[7] в Росії і країнах СНД. — Раніше хакери, що використовували атаки „людина-в-браузері“, були обмежені по числу цільових сайтів, або їм було потрібно витрачати додатковий час на витягнення ідентифікаційних даних з усієї маси зібраної інформації. Тепер же перехоплені дані можуть використовуватися негайно, наприклад, відразу ж застосовуватися для вчинення незаконних переказів або продаватися на „чорному“ ринку. Свіжа, актуальна інформація для хакерів завжди найбільш цінна».

Приклади атак[ред. | ред. код]

Ін'єкція команд[ред. | ред. код]

Корисна в тих випадках, коли автентифікація проводиться лише один раз. В таких випадках перехоплення пакетів даних, які передаються між двома комп'ютерами, є марним, але вірогідність викрадення вже авторизованої сесії є мінімальною.

Загрози:

  • Ін'єкція команд на сервер;
  • Емуляція підроблених відповідей до клієнта.

Шкідливе впровадження коду[ред. | ред. код]

Вставка шкідливого коду в веб-сторінки або електронною поштою (JavaScript, троянів, вірусів…).

Загрози:

  • Модифікація на льоту бінарних файлів під час фази завантаження (вірус, бекдор…).

Атака «людина в мобільному»[ред. | ред. код]

Шпигунські мобільні віруси типу «людина в мобільному» (англ. man-in-the-mobile, MitMo[9]) можуть подолати позасмугову СМС перевірку транзакцій.[10]

  • ZitMo (Zeus-In-The-Mobile) сам по собі не є трояном «людина в браузері» (хоча він виконує подібну проксі-функцію на вхідних SMS-повідомленнях), він є мобільним вірусом, який запропоновано для встановлення на мобільний телефон зараженим комп'ютером. Перехоплюючи всі вхідні SMS-повідомлення, він обходить двофакторну аутентифікацію на базі SMS-банкінгу для Windows Mobile, Android, Symbian, BlackBerry.[10] ZitMo може бути виявлений антивірусом, який працює на мобільному пристрої.
  • SpitMo (SpyEye-In-The-Mobile, SPITMO), подібний до ZitMo.[11]

Захист[ред. | ред. код]

Захист від атак «людина в браузері» пов'язаний зі значними труднощами, оскільки шкідливе розширення браузера діє як можна більш непомітніше. Експерти рекомендують користувачам наступні методи боротьби з даною загрозою:

  • виконувати базові правила інформаційної безпеки (не викачувати файли з невідомих ресурсів, своєчасно оновлювати антивіруси, системне і прикладне програмне забезпечення);
  • використовувати антивірусну програму, що запобігає проникненню вірусу в браузер, яка захистить не тільки від атак «людина-в-браузері», а й від заражень іншими шкідливими та рекламними розширеннями;
  • в налаштуваннях браузера заборонити завантаження розширень і доповнень браузера з недовірених сайтів;
  • використовувати для проведення фінансових операцій «чисту», захищену версію браузера з флеш-карти.

На жаль, кінцеві споживачі все ще уразливі для атак типу «людина посередині». Найбільш ефективним контрзаходом вважається автентифікація по зовнішньому каналу (Out-Of-Band, OOB[12]), оскільки зловмисник, що застосовує методику MITM, протоколює лише один канал зв'язку. ООВ передбачає окремий канал для аутентифікації, щоб верифікувати і авторизувати транзакції з високим ризиком. Система ООВ[12] передає користувачеві інформацію про транзакції, наприклад, по електронній пошті, SMS або телефону, і для підтвердження отримання вимагає введення прикладеного одноразового пароля.

В наступній таблиці приводяться основні заходи протистояння атакам типу "людина посередині" і їх реальна ефективність.
Опис Ефективність проти атак "людина по середині" Чому?
Використання сильного пароля, періодична його зміна Не ефективно Шкідливі програми можуть перехопити пароль напряму через браузер чи просто дочекатись, поки користувач пройде автентифікацію
Використаня багатофактурної автентифікації Не ефективно
Переконатись, що сертифікат SSL[13] дійсний Не ефективно
Основні принципи безпеки, оновити браузер Можливо Шанси інфікування шкідливих програм через атаки соціальної інженерії
Використання окремої системи тільки для онлайн банкінгу Можливо Шанси інфікування шкідливою програмою нижче, але вимагає суворої дисципліни, що зустрічається рідко
Використання оновленої антивірусної програми Іноді Залежить від можливостей антивірусу знаходити шкідливе ПЗ. Захист менше вірогідний проти нових вірусів
Захищений USB накопичувач з влаштованим браузером Помірно ефективно Менше шансів інфікування шкідливою програмую типу "людина по середині", але все ще існує вірогідність зараження шляхом використання експлойту нульового дня
Будьте уважними під час користування онлайн-банкінгом і завжди уважно перевіряйте всі деталі транзакції до виконання операції. Негайно проінформуйте свій банк при виявленні будь-яких невідповідностей Помірно ефективно Зазвичай банки, обізнані про типи атак «людина по середині», посилають деталі транзакції по зовнішньому каналу зв'язку (телефон/смс). Уважно перевірте всі деталі транзакції перед її підтвердженням. Останні атаки типу «людина в браузері» ще більш витонченими і пропонують жертві встановити шкідливу програму на мобільний телефон, що дозволяє злочинцям перехопити і змінити навіть смс повідомлення, передане по зовнішньому каналу зв'язку.

Примітки[ред. | ред. код]

  1. The Evolution of Proxy Trojans | SecurityWeek.Com. www.securityweek.com. Процитовано 2016-03-23. 
  2. Trojan-Spy: W32/Nuklus.A Description | F-Secure Labs. www.f-secure.com. Процитовано 2016-03-23. 
  3. Trusteer (2009-09-14). "Measuring the in-the-wild effectiveness of Antivirus against Zeus". 
  4. а б "Web Browsers: Your Weak Link in Achieving PCI Compliance". Архів оригіналу за 10 квітень 2016. 
  5. boy-in-the-browser attacks - Пошук Google. www.google.com.ua. Процитовано 2016-03-26. 
  6. ActiveXObject Object (JavaScript). msdn.microsoft.com. Процитовано 2016-03-23. 
  7. а б eScan Antivirus | Best Protection from Viruses. www.escanav.com. Процитовано 2016-03-23. 
  8. а б Trusteer. www.trusteer.com. Процитовано 2016-03-23. 
  9. Chickowski, Ericka (2010-10-05). 'Man In The Mobile' Attacks Highlight Weaknesses In Out-Of-Band Authentication. Процитовано 2012-02-09. 
  10. а б Schwartz, Mathew J. (2011-07-13). Zeus Banking Trojan Hits Android Phones. Процитовано 2012-02-04. 
  11. Balan, Mahesh (2009-10-14). Internet Banking & Mobile Banking users beware – ZITMO & SPITMO is here !. Процитовано 2012-02-05. 
  12. а б Out-of-band. Wikipedia, the free encyclopedia (en). Процитовано 2016-03-23. 
  13. What is an SSL Certificate?. www.globalsign.com. Процитовано 2016-03-23. 

Див. також[ред. | ред. код]

Посилання[ред. | ред. код]