Человек в браузере

Угроза безопасности интернет-браузера

«Человек в браузере» ( MITB , MitB , MIB , MiB ), форма интернет- угрозы , связанная с «человеком посередине» (MITM), представляет собой прокси- троянский конь ^[1] , который заражает веб-браузер, принимая преимущество уязвимостей в безопасности браузера для изменения веб-страниц , изменения содержимого транзакций или вставки дополнительных транзакций, и все это скрытым образом, невидимым как для пользователя, так и для хостового веб-приложения . Атака MitB будет успешной независимо от наличия механизмов безопасности, таких как SSL / PKI и/или двух- или трехфакторной аутентификации . Атаке MitB можно противостоять с помощью внеполосной проверки транзакций, хотя проверку по SMS можно обойти с помощью заражения мобильного телефона вредоносным ПО «человек на мобильном телефоне » ( MitMo ) . Трояны могут быть обнаружены и удалены антивирусным программным обеспечением; ^[2] , но в отчете 2011 года был сделан вывод о необходимости дополнительных мер помимо антивирусного программного обеспечения. ^{[3] [ нужно обновить ]}

Похожая, более простая атака — это атака «мальчик в браузере» ( BitB , BITB ).

Большинство специалистов финансовых услуг в опросе 2014 года считали MitB самой большой угрозой для онлайн-банкинга . ^[4]

Описание

Угрозу MitB продемонстрировал Аугусто Паес де Баррос в своей презентации 2005 года о тенденциях бэкдоров «Будущее бэкдоров – худший из всех миров». ^[5] Название «человек в браузере» было придумано Филиппом Гюрингом 27 января 2007 года. ^[6]

Троян MitB работает, используя общие средства, предоставляемые для расширения возможностей браузера, такие как вспомогательные объекты браузера (функция, ограниченная Internet Explorer ), расширения браузера и пользовательские сценарии (например, в JavaScript ). ^[6] Антивирусное программное обеспечение может обнаружить некоторые из этих методов. ^[2]

Вкратце, пример обмена между пользователем и хостом, такого как перевод средств через интернет-банкинг , клиенту всегда будет показываться на экранах подтверждения точной платежной информации, введенной в браузер. Однако банк получит транзакцию с существенно измененными инструкциями, т.е. с другим номером счета назначения и, возможно, суммой. Использование инструментов строгой аутентификации просто создает повышенный уровень неуместной уверенности как со стороны клиента, так и со стороны банка в том, что транзакция безопасна. Аутентификация по определению связана с проверкой идентификационных данных. Это не следует путать с проверкой транзакции.

Примеры

Примеры угроз MitB в разных операционных системах и веб-браузерах :

Защита

Антивирус

Известные трояны могут быть обнаружены, заблокированы и удалены антивирусным программным обеспечением. ^[2] В исследовании 2009 года эффективность антивируса против Zeus составила 23%, ^[25] и снова о низких показателях успеха сообщалось в отдельном тесте в 2011 году. ^[3] В отчете 2011 года был сделан вывод, что дополнительные меры помимо антивируса были нужный. ^[3]

Защищенное программное обеспечение

• Программное обеспечение безопасности браузера: атаки MitB могут быть заблокированы программным обеспечением безопасности браузера, таким как Cymatic.io, Trusteer Rapport для Microsoft Windows и Mac OS X , которое блокирует API-интерфейсы расширений браузера и контролирует связь. ^{[11] [12] [15]}
• Альтернативное программное обеспечение: снижение или устранение риска заражения вредоносным ПО с помощью портативных приложений или альтернатив Microsoft Windows , таких как Mac OS X , Linux или мобильных ОС Android, iOS , ChromeOS , Windows Mobile , Symbian и т. д., и/или браузеров Chrome. или Опера . ^[27] Дополнительную защиту можно обеспечить, запустив эту альтернативную ОС, например Linux, с неустановленного Live CD или Live USB . ^[28]
• Безопасный веб-браузер. Некоторые поставщики теперь могут предоставить решение двухфакторной безопасности, частью которого является безопасный веб-браузер. ^[29] В этом случае атак MitB можно избежать, поскольку пользователь запускает усиленный браузер со своего устройства двухфакторной безопасности, а не запускает «зараженный» браузер со своего компьютера.

Внеполосная проверка транзакций

Теоретически эффективным методом борьбы с любой атакой MitB является процесс проверки транзакций по внешнему каналу (OOB). Это позволяет преодолеть троян MitB, проверяя детали транзакции, полученные хостом (банком), пользователю (клиенту) по каналу, отличному от браузера; например, автоматический телефонный звонок, SMS или специальное мобильное приложение с графической криптограммой. ^[30] Внешняя проверка транзакций идеально подходит для массового использования, поскольку она использует устройства, уже находящиеся в свободном доступе (например, стационарный телефон , мобильный телефон и т. д.), и не требует дополнительных аппаратных устройств, но при этом обеспечивает трехфакторную аутентификацию (с использованием голосовой биометрии ), подписание транзакции (до уровня невозможности отказа) и проверка транзакции. Обратной стороной является то, что проверка транзакций OOB увеличивает уровень разочарования конечного пользователя из-за большего количества и более медленных шагов.

Человек в мобильном телефоне

Мобильный троян -шпион « Человек-в-мобильном» ( MitMo ) ^[31] может обойти проверку внештатных SMS-транзакций. ^[32]

• ZitMo (Zeus-In-The-Mobile) сам по себе не является трояном MitB (хотя он выполняет аналогичную функцию прокси для входящих SMS-сообщений), а представляет собой мобильное вредоносное ПО , предлагаемое для установки на мобильный телефон зараженным Zeus компьютером. Перехватывая все входящие SMS-сообщения, он обходит двухфакторную банковскую аутентификацию OOB на основе SMS на Windows Mobile , Android , Symbian и BlackBerry . ^[32] ZitMo может быть обнаружен антивирусом, работающим на мобильном устройстве.
• SpitMo (SpyEye-In-The-Mobile, SPITMO) похож на ZitMo. ^[33]

Обнаружение веб-мошенничества

В банке может быть реализовано обнаружение веб-мошенничества для автоматической проверки аномальных моделей поведения в транзакциях. ^[34]

Связанные атаки

Прокси-трояны

Кейлоггеры — это самая примитивная форма прокси-троянов , за ними следуют устройства записи сеансов браузера, которые захватывают больше данных, и, наконец, MitB — самый сложный тип. ^[1]

Человек посередине

SSL/PKI и т. д. могут обеспечить защиту от атаки «человек посередине» , но не обеспечивают защиты от атаки «человек в браузере».

Мальчик в браузере

Похожая атака, которую авторы вредоносных программ могут настроить проще и быстрее, называется « мальчик в браузере» ( BitB или BITB ). Вредоносное ПО используется для изменения маршрутизации компьютерной сети клиента для выполнения классической атаки «человек посередине». После изменения маршрутизации вредоносное ПО может полностью удалиться, что затруднит его обнаружение. ^[35]

Кликджекинг

Кликджекинг заставляет пользователя веб-браузера щелкнуть по чему-то, отличному от того, что он воспринимает, с помощью вредоносного кода на веб-странице.

Смотрите также

• Захват формы
• ИТ-риск
• Угроза (компьютер)
• Хронология компьютерных вирусов и червей
• Маркер безопасности
• Номер аутентификации транзакции
• Взлом DNS

Рекомендации

1. Бар-Йосеф, Ноа (30 декабря 2010 г.). «Эволюция прокси-троянов» . Проверено 3 февраля 2012 г.
2. F-Secure (11 февраля 2007 г.). «Описание угрозы: Trojan-Spy:W32/Nuklus.A» . Проверено 3 февраля 2012 г.
3. Quarri Technologies, Inc (2011). «Веб-браузеры: ваше слабое звено в достижении соответствия PCI» (PDF) . Проверено 5 февраля 2012 г.
4. Фернандес, Диого AB; Соареш, Лилиана ФБ; Гомеш, Жуан В.; Фрейре, Марио М.; Инасио, Педро Р.М. (1 апреля 2014 г.). «Проблемы безопасности в облачных средах: опрос» . Международный журнал информационной безопасности . 13 (2): 113–170. дои : 10.1007/s10207-013-0208-7. ISSN  1615-5270. S2CID  3330144.
5. Паес де Баррос, Аугусто (15 сентября 2005 г.). «O futuro dos backdoors - o pior dos mundos» (PDF) (на португальском языке). Сан-Паулу, Бразилия: Национальный конгресс систем аудита, безопасности информации и управления – CNASI. Архивировано из оригинала (PDF) 6 июля 2011 года . Проверено 12 июня 2009 г.
6. Гюринг, Филипп (27 января 2007 г.). «Концепции борьбы с атаками типа «человек в браузере»» (PDF) . Проверено 30 июля 2008 г.
7. Данн, Джон Э (3 июля 2010 г.). «Создатели троянов атакуют британские банки с помощью бот-сетей» . Проверено 8 февраля 2012 г.
8. Данн, Джон Э (12 октября 2010 г.). «Zeus — не единственная угроза банковского трояна, — предупредили пользователи» . Проверено 3 февраля 2012 г.
9. Кертис, Софи (18 января 2012 г.). «Пользователи Facebook подверглись атаке Carberp «человек в браузере»» . Проверено 3 февраля 2012 г.
10. Марущак Клаудиу Флорин (28 ноября 2008 г.). «Средство удаления Trojan.PWS.ChromeInject.B» . Проверено 5 февраля 2012 г.
11. Наттакант Утакрит, Школа компьютерных наук и безопасности, Университет Эдит Коуэн (25 февраля 2011 г.). «Обзор расширений браузера: методы фишинга «человек в браузере», нацеленные на клиентов банков» . Проверено 3 февраля 2012 г.{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
12. Symantec Марк Фосси (08 декабря 2010 г.). «Банковские трояны в стиле ZeuS считаются наибольшей угрозой для онлайн-банкинга: опрос» . Архивировано из оригинала 8 августа 2011 г. Проверено 3 февраля 2012 г.
13. Тед Самсон (22 февраля 2011 г.). «Коварное вредоносное ПО OddJob делает банковские счета в Интернете открытыми для хищения» . Проверено 6 февраля 2012 г.
14. Symantec Марк Фосси (23 января 2008 г.). «Банковское дело с уверенностью» . Проверено 30 июля 2008 г.
15. Попечитель. «Доверительное взаимопонимание» . Проверено 3 февраля 2012 г.
16. Генеральный директор Trusteer Микки Будаи (31 марта 2011 г.). «Атаки типа «человек в браузере» нацелены на предприятие». Архивировано из оригинала 8 декабря 2011 г. Проверено 3 февраля 2012 г.
17. www.net-security.org (11 мая 2011 г.). «Взрывоопасное финансовое вредоносное ПО нацелено на Windows» . Проверено 6 февраля 2012 г.
18. Йожеф Гегени; Хосе Мигель Эспарса (25 февраля 2011 г.). «Tatanga: новый банковский троян с функциями MitB» . Проверено 3 февраля 2012 г.
19. «Крошечный банковский троян 'Tinba' - большая проблема» . msnbc.com . 31 мая 2012 года . Проверено 28 февраля 2016 г.
20. Бореан, Уэйн (24 мая 2011 г.). «Вирус Mac OS X, которого не было» . Проверено 8 февраля 2012 г.
21. Фишер, Деннис (2 мая 2011 г.). «Появляется комплект Crimeware для Mac OS X». Архивировано из оригинала 5 сентября 2011 года . Проверено 3 февраля 2012 г.
22. F-безопасно. «Описание угрозыTrojan-Spy:W32/Zbot» . Проверено 5 февраля 2012 г.
23. Хён Чой; Шон Кирнан (24 июля 2008 г.). «Технические подробности Trojan.Wsnpoem». Симантек . Проверено 5 февраля 2012 г.
24. Microsoft (30 апреля 2010 г.). «Запись в энциклопедии: Win32/Zbot — Узнайте больше о вредоносных программах — Центр защиты от вредоносных программ Microsoft». Симантек . Проверено 5 февраля 2012 г.
25. Trusteer (14 сентября 2009 г.). «Измерение эффективности антивируса против Zeus в реальных условиях» (PDF) . Архивировано из оригинала (PDF) 6 ноября 2011 года . Проверено 5 февраля 2012 г.
26. Ричард С. Уэстморленд (20 октября 2010 г.). «Антиисточник – ЗевС». Архивировано из оригинала 20 января 2012 г. Проверено 5 февраля 2012 г.
27. Горовиц, Майкл (6 февраля 2012 г.). «Интернет-банкинг: что пропустила BBC и рекомендации по безопасности» . Проверено 8 февраля 2012 г.
28. Перди, Кевин (14 октября 2009 г.). «Используйте Linux Live CD/USB для онлайн-банкинга» . Проверено 4 февраля 2012 г.
29. Конот, Радхеш Кришнан; ван дер Вин, Виктор; Бос, Герберт (2017). «Как вездесущие компьютеры просто убили вашу двухфакторную аутентификацию на телефоне» . В Гроссклагсе, Йенс; Пренил, Барт (ред.). Финансовая криптография и безопасность данных . Конспекты лекций по информатике. Том. 9603. Берлин, Гейдельберг: Springer. стр. 405–421. дои : 10.1007/978-3-662-54970-4_24. ISBN 978-3-662-54970-4.
30. Finextra Research (13 ноября 2008 г.). «Commerzbank внедрит технологию аутентификации Cronto на базе мобильных телефонов» . Проверено 8 февраля 2012 г.
31. Чиковски, Эрика (05.10.2010). «Атаки типа «человек в мобильном телефоне» подчеркивают слабые места внеполосной аутентификации» . Архивировано из оригинала 1 марта 2012 г. Проверено 9 февраля 2012 г.
32. Шварц, Мэтью Дж. (13 июля 2011 г.). «Банковский троян Zeus попал в телефоны Android» . Архивировано из оригинала 6 июля 2012 г. Проверено 4 февраля 2012 г.
33. Балан, Махеш (14 октября 2009 г.). «Пользователи Интернет-банкинга и мобильного банкинга, будьте осторожны – ZITMO и SPITMO уже здесь!!» . Проверено 5 февраля 2012 г.
34. Сартэн, Джули (7 февраля 2012 г.). «Как защитить онлайн-транзакции с помощью многофакторной аутентификации» . Проверено 8 февраля 2012 г.
35. Имперва (14 февраля 2010 г.). «Мальчик-консультант по угрозам в браузере» . Проверено 12 марта 2015 г.

Внешние ссылки

• Вирусная атака на транзакции HSBC с использованием OTP-устройства
• Вирусная атака на банковские транзакции ICICI
• Вирусная атака на Citibank Transactions
• Хакеры перехитрили системы защиты личных данных онлайн-банкинга BBC Click
• Antisource - ZeuS Краткое описание ZeuS как трояна и ботнета, а также направления атак
• Видео «Человек в браузере» на YouTube Президент и генеральный директор Entrust Билл Коннер
• Zeus: король наборов инструментов для криминального ПО Видео на YouTube Набор инструментов Zeus, Symantec Security Response
• Насколько безопасен онлайн-банкинг? Аудио BBC Click
• Видео о кибератаке «Мальчик в браузере» на YouTube Imperva