Захват формы

Захват форм — это форма вредоносного ПО , которая работает путем извлечения учетных данных авторизации и входа из веб-формы данных перед их передачей через Интернет на защищенный сервер. Это позволяет вредоносному ПО избегать шифрования HTTPS . Этот метод более эффективен, чем программное обеспечение для кейлоггеров, поскольку он получает учетные данные пользователя, даже если они вводятся с помощью виртуальной клавиатуры, автозаполнения или копирования и вставки. ^[1] Затем он может сортировать информацию на основе имен переменных, таких как адрес электронной почты , имя учетной записи и пароль . Кроме того, захватчик форм регистрирует URL-адрес и заголовок веб-сайта, с которого были собраны данные. ^[2]

История

Метод был изобретен в 2003 году разработчиком варианта троянского коня под названием Downloader.Barbew, который пытается загрузить Backdoor.Barbew из Интернета и перенести его в локальную систему для выполнения. Однако он не был популярен как известный тип вредоносной атаки до появления печально известного банковского трояна Zeus в 2007 году. ^[3] Zeus использовался для кражи банковской информации путем регистрации нажатий клавиш в браузере и захвата форм. Как и Zeus, троян Barbew изначально рассылался спам большому количеству людей через электронные письма, маскирующиеся под крупные банковские компании. ^[4] Захват форм как метод впервые был усовершенствован через итерации Zeus, которые позволяли модулю не только обнаруживать захваченные данные форм, но и определять, насколько полезна была полученная информация. В более поздних версиях захватчик форм также был причастен к веб-сайту, на котором были отправлены фактические данные, что делало конфиденциальную информацию более уязвимой, чем раньше. ^[5]

Известные случаи

Троян, известный как Tinba ( Tiny Banker Trojan ), был создан с помощью захвата форм и способен красть учетные данные онлайн-банкинга, и был впервые обнаружен в 2012 году. Другая программа под названием Weyland-Yutani BOT была первым программным обеспечением, разработанным для атаки на платформу macOS , и могла работать в Firefox . Шаблоны веб-инжектов в Weyland-Yutani BOT отличались от существующих, таких как Zeus и SpyEye . ^[6]

Другая известная версия — взлом British Airways в сентябре 2018 года. В случае British Airways серверы организации, по-видимому, были скомпрометированы напрямую, при этом злоумышленники изменили один из файлов JavaScript (библиотека Modernizr JavaScript, версия 2.6.2), включив в него скрипт регистрации PII/кредитной карты, который захватывал платежную информацию и отправлял ее на контролируемый злоумышленником сервер, размещенный на домене «baways[.]com» с сертификатом SSL, выданным центром сертификации «Comodo». Мобильное приложение British Airways также загружает веб-страницу, созданную с использованием тех же компонентов CSS и JavaScript, что и основной веб-сайт, включая вредоносный скрипт, установленный Magecart. Таким образом, платежи, совершаемые с помощью мобильного приложения British Airways, также были затронуты. ^[7]

Контрмеры

Из-за недавнего увеличения случаев кейлоггеров и захвата форм антивирусные компании добавляют дополнительную защиту для противодействия усилиям кейлоггеров и предотвращения сбора паролей. Эти усилия принимают различные формы, варьирующиеся от антивирусных компаний, таких как safepay, password manager и других. ^[1] Для дальнейшего противодействия захвату форм привилегии пользователей могут быть ограничены, что не позволит им устанавливать объекты Browser Helper Objects (BHO) и другое программное обеспечение для захвата форм. Администраторы должны создать список вредоносных серверов в своих брандмауэрах . ^[2]

Также появляются новые контрмеры, такие как использование внеполосной связи для обхода захватчиков форм и Man-in-the-browser ; примеры включают FormL3SS.; ^[8] те, которые обходят угрозу, используют другой канал связи для отправки конфиденциальных данных на доверенный сервер. Таким образом, на скомпрометированном устройстве не вводится никакая информация. Альтернативные инициативы, такие как Fidelius, используют дополнительное оборудование для защиты ввода/вывода на скомпрометированном или предполагаемом скомпрометированном устройстве.

Смотрите также

• Интернет-портал

• Регистрация нажатий клавиш
• Вредоносное ПО
• троянский конь
• Веб-эксплойты безопасности
• Небезопасность компьютера
• Конфиденциальность в Интернете
• Маленький банковский троян

Ссылки

1. "Capturing Online Passwords and Antivirus". Запись в веб-журнале. Business Information Technology Services, 24 июля 2013 г.
2. Грэм, Джеймс, Ричард Ховард и Райан Олсон. Основы кибербезопасности. Auerbach Publications, 2011. Печать.
3. *Шевченко, Сергей. "Downloader.Berbew." Symantec, 13 февраля 2007 г.
4. *Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программе-вымогателе CryptoLocker». Bleeding Computers. 20 декабря 2013 г.
5. *"Form Grabbing". Запись в веб-журнале. Рочестерский технологический институт, 10 сентября 2011 г.
6. Круз, Питер. «Crimekit для MacOSX запущен». Архивировано 31 января 2014 г. в блоге Wayback Machine Web. Канадская служба безопасности и разведки, 2 мая 2011 г.
7. Болат, Джефф. "Cryptograb" . Получено 26 января 2022 г.
8. Almasi, Sirvan; Knottenbelt, William (февраль 2020 г.). «Защита пользователей от скомпрометированных браузеров и захватчиков форм». Семинар NDSS по измерениям, атакам и защите для Интернета . 2020 г. doi : 10.14722/madweb.2020.23016 . ISBN 978-1-891562-63-1.