Человек-в-браузере

Угроза безопасности интернет-браузера

Man-in-the-browser ( MITB , MitB , MIB , MiB ), форма интернет- угрозы, связанная с man-in-the-middle (MITM), представляет собой прокси- троянского коня ^[1] , который заражает веб-браузер , используя уязвимости в безопасности браузера для изменения веб-страниц , изменения содержимого транзакций или вставки дополнительных транзакций, все это скрытым образом, невидимым как для пользователя, так и для хостового веб-приложения . Атака MitB будет успешной независимо от того, используются ли механизмы безопасности, такие как SSL / PKI и/или двух- или трехфакторные решения аутентификации . Атаке MitB можно противостоять с помощью внеполосной проверки транзакций, хотя проверку SMS можно обойти с помощью заражения вредоносным ПО man-in-the-mobile ( MitMo ) на мобильном телефоне . Трояны могут быть обнаружены и удалены антивирусным программным обеспечением, ^[2] но в отчете за 2011 год сделан вывод о необходимости дополнительных мер в дополнение к антивирусному программному обеспечению. ^{[3] [ требуется обновление ]}

Схожая, более простая атака — «мальчик в браузере» ( BitB , BITB ).

Большинство специалистов в сфере финансовых услуг, опрошенных в 2014 году, посчитали MitB самой большой угрозой для онлайн-банкинга . ^[4]

Описание

Угроза MitB была продемонстрирована Аугусто Паесом де Барросом в его презентации 2005 года о тенденциях бэкдоров «Будущее бэкдоров — худший из миров». ^[5] Название «man-in-the-browser» было придумано Филиппом Гюрингом 27 января 2007 года. ^[6]

Троян MitB работает, используя общие средства, предоставляемые для расширения возможностей браузера, такие как объекты Browser Helper (функция, ограниченная Internet Explorer ), расширения браузера и пользовательские скрипты (например, в JavaScript ). ^[6] Антивирусное программное обеспечение может обнаружить некоторые из этих методов. ^[2]

В кратком примере обмена между пользователем и хостом, например, перевода средств через интернет-банкинг , клиенту всегда будет показана, через экраны подтверждения, точная информация о платеже, введенная в браузер. Банк, однако, получит транзакцию с существенно измененными инструкциями, т. е. другим номером счета назначения и, возможно, суммой. Использование надежных инструментов аутентификации просто создает повышенный уровень неуместной уверенности со стороны как клиента, так и банка в том, что транзакция является безопасной. Аутентификация, по определению, связана с проверкой учетных данных личности. Это не следует путать с проверкой транзакции.

Примеры

Примеры угроз MitB в различных операционных системах и веб-браузерах :

Защита

Антивирус

Известные трояны могут быть обнаружены, заблокированы и удалены антивирусным программным обеспечением. ^[2] В исследовании 2009 года эффективность антивируса против Zeus составила 23%, ^[25] и снова низкие показатели успеха были зарегистрированы в отдельном тесте в 2011 году. ^[3] В отчете 2011 года сделан вывод о необходимости дополнительных мер в дополнение к антивирусу. ^[3]

Усиленное программное обеспечение

• Программное обеспечение безопасности браузера: атаки MitB могут быть заблокированы программным обеспечением безопасности браузера, таким как Cymatic.io, Trusteer Rapport для Microsoft Windows и Mac OS X , которое блокирует API из расширений браузера и контролирует связь. ^{[11] [12] [15]}
• Альтернативное программное обеспечение: снижение или устранение риска заражения вредоносным ПО с помощью портативных приложений или альтернатив Microsoft Windows, таких как Mac OS X , Linux или мобильных ОС Android, iOS , ChromeOS , Windows Mobile , Symbian и т. д., а также браузеров Chrome или Opera . ^[27] Дополнительная защита может быть достигнута путем запуска этой альтернативной ОС, такой как Linux, с неустановленного Live CD или Live USB . ^[28]
• Безопасный веб-браузер: несколько поставщиков теперь могут предоставлять двухфакторное решение безопасности, частью которого является безопасный веб-браузер. ^[29] В этом случае атаки MitB избегаются, поскольку пользователь запускает защищенный браузер со своего двухфакторного устройства безопасности, а не запускает «зараженный» браузер со своего собственного компьютера.

Внеполосная проверка транзакций

Теоретически эффективным методом борьбы с любой атакой MitB является процесс проверки транзакций вне диапазона (OOB). Это преодолевает троян MitB, проверяя детали транзакции, полученные хостом (банком), для пользователя (клиента) по каналу, отличному от браузера; например, автоматический телефонный звонок, SMS или специальное мобильное приложение с графической криптограммой. ^[30] Проверка транзакций OOB идеально подходит для использования на массовом рынке, поскольку она использует устройства, уже находящиеся в открытом доступе (например, стационарный телефон , мобильный телефон и т. д.) и не требует дополнительных аппаратных устройств, но при этом обеспечивает трехфакторную аутентификацию (с использованием голосовой биометрии ), подписание транзакций (до уровня неотказуемости) и проверку транзакций. Недостатком является то, что проверка транзакций OOB увеличивает уровень разочарования конечного пользователя из-за большего количества и более медленных шагов.

Человек-в-Мобильном-Средстве

Мобильный троянский шпионский конь «man-in-the-mobile» ( MitMo ) ^[31] может обойти проверку транзакций OOB SMS. ^[32]

• ZitMo (Zeus-In-The-Mobile) сам по себе не является трояном MitB (хотя он выполняет похожую функцию прокси для входящих SMS-сообщений), а представляет собой вредоносное ПО для мобильных телефонов, рекомендуемое для установки на компьютер, зараженный Zeus. Перехватывая все входящие SMS-сообщения, он обходит двухфакторную аутентификацию OOB-банкинга на основе SMS на Windows Mobile , Android , Symbian и BlackBerry . ^[32] ZitMo может быть обнаружен антивирусом, работающим на мобильном устройстве.
• SpitMo (SpyEye-In-The-Mobile, SPITMO) похож на ZitMo. ^[33]

Обнаружение веб-мошенничества

Обнаружение веб-мошенничества может быть реализовано в банке для автоматической проверки аномальных моделей поведения в транзакциях. ^[34] Согласование TLS не удалось: FAILED_PRECONDITION: ошибка starttls (71): 126011017202752:ошибка:1000012e:процедуры SSL:OPENSSL_internal:KEY_USAGE_BIT_INCORRECT:third_party/openssl/boringssl/src/ssl/ssl_cert.cc:431:

Связанные атаки

Прокси-трояны

Кейлоггеры — это самая примитивная форма прокси-троянов , за ними следуют регистраторы сеансов браузера, которые собирают больше данных, и, наконец, MitB — самый сложный тип. ^[1]

Человек-посередине

SSL/PKI и т. д. могут обеспечить защиту от атаки типа «человек посередине» , но не обеспечивают никакой защиты от атаки типа «человек в браузере».

Мальчик-в-браузере

Схожая атака, которую проще и быстрее организовать авторам вредоносного ПО, называется boy-in-the-browser ( BitB или BITB ). Вредоносное ПО используется для изменения маршрутизации клиентской компьютерной сети для выполнения классической атаки «человек посередине». После изменения маршрутизации вредоносное ПО может полностью удалить себя, что затрудняет обнаружение. ^[35]

Кликджекинг

Кликджекинг обманывает пользователя веб-браузера, заставляя его нажать на что-то, отличное от того, что он воспринимает, с помощью вредоносного кода на веб-странице.

Смотрите также

• Захват формы
• ИТ-риск
• Угроза (компьютер)
• Хронология компьютерных вирусов и червей
• Токен безопасности
• Номер аутентификации транзакции
• DNS-перехват

Ссылки

1. Бар-Йосеф, Ноа (2010-12-30). "Эволюция прокси-троянов" . Получено 2012-02-03 .
2. F-Secure (2007-02-11). "Описание угрозы: Trojan-Spy:W32/Nuklus.A" . Получено 2012-02-03 .
3. Quarri Technologies, Inc (2011). "Веб-браузеры: ваше слабое звено в достижении соответствия PCI" (PDF) . Получено 2012-02-05 .
4. Фернандес, Диого AB; Соарес, Лилиана ФБ; Гомеш, Жоау В.; Фрейре, Марио М.; Инасио, Педро Р.М. (01 апреля 2014 г.). «Проблемы безопасности в облачных средах: опрос» . Международный журнал информационной безопасности . 13 (2): 113–170. дои : 10.1007/s10207-013-0208-7. ISSN  1615-5270. S2CID  3330144.
5. Паес де Баррос, Аугусто (15 сентября 2005 г.). «O futuro dos backdoors - o pior dos mundos» (PDF) (на португальском языке). Сан-Паулу, Бразилия: Национальный конгресс систем аудита, безопасности информации и управления – CNASI. Архивировано из оригинала (PDF) 6 июля 2011 года . Проверено 12 июня 2009 г.
6. Gühring, Philipp (27 января 2007 г.). "Концепции против атак Man-in-the-Browser" (PDF) . Получено 2008-07-30 .
7. Данн, Джон Э. (2010-07-03). «Авторы троянских программ атакуют британские банки с помощью ботнетов» . Получено 2012-02-08 .
8. Данн, Джон Э. (12.10.2010). «Zeus — не единственная угроза банковского трояна, предупреждают пользователи» . Получено 03.02.2012 .
9. Кертис, Софи (18.01.2012). "Пользователи Facebook стали жертвами атаки Carberp man-in-the-browser" . Получено 03.02.2012 .
10. Marusceac Claudiu Florin (2008-11-28). "Trojan.PWS.ChromeInject.B Removal Tool" . Получено 2012-02-05 .
11. Nattakant Utakrit, Факультет компьютерных наук и безопасности, Университет Эдит Коуэн (25.02.2011). "Обзор расширений браузера, фишинговые методы Man-in-the-Browser, нацеленные на банковских клиентов" . Получено 03.02.2012 .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
12. Symantec Марк Фосси (2010-12-08). "Банковские трояны в стиле ZeuS рассматриваются как наибольшая угроза онлайн-банкингу: исследование". Архивировано из оригинала 2011-08-08 . Получено 2012-02-03 .
13. Тед Сэмсон (22.02.2011). «Вредоносное ПО Crafty OddJob оставляет онлайн-банковские счета открытыми для грабежа» . Получено 06.02.2012 .
14. Symantec Марк Фосси (2008-01-23). ​​"Банковское дело с уверенностью" . Получено 2008-07-30 .
15. Доверительный управляющий. "Доверительный управляющий" . Получено 2012-02-03 .
16. Генеральный директор Trusteer Микки Будаи (31.03.2011). «Атаки Man-in-the-Browser нацелены на предприятие». Архивировано из оригинала 08.12.2011 . Получено 03.02.2012 .
17. www.net-security.org (2011-05-11). "Взрывное финансовое вредоносное ПО нацелено на Windows" . Получено 2012-02-06 .
18. Jozsef Gegeny; Jose Miguel Esparza (2011-02-25). "Tatanga: новый банковский троян с функциями MitB" . Получено 2012-02-03 .
19. «Маленький банковский троян 'Tinba' — большая проблема». msnbc.com . 31 мая 2012 г. Получено 28.02.2016 .
20. Borean, Wayne (2011-05-24). "Вирус Mac OS X, которого не было" . Получено 2012-02-08 .
21. Фишер, Деннис (2011-05-02). "Crimeware Kit Emerges for Mac OS X". Архивировано из оригинала 5 сентября 2011 года . Получено 2012-02-03 .
22. F-secure. "Описание угрозыTrojan-Spy:W32/Zbot" . Получено 2012-02-05 .
23. Хён Чой; Шон Кирнан (2008-07-24). "Технические подробности о Trojan.Wsnpoem". Symantec. Архивировано из оригинала 23 февраля 2010 г. Получено 2012-02-05 .
24. Microsoft (2010-04-30). "Запись в энциклопедии: Win32/Zbot - Узнайте больше о вредоносных программах - Центр защиты от вредоносных программ Microsoft". Symantec . Получено 2012-02-05 .
25. Trusteer (2009-09-14). "Измерение эффективности антивируса против Zeus в реальных условиях" (PDF) . Архивировано из оригинала (PDF) 6 ноября 2011 г. . Получено 2012-02-05 .
26. Richard S. Westmoreland (2010-10-20). "Antisource - ZeuS". Архивировано из оригинала 2012-01-20 . Получено 2012-02-05 .
27. Хоровиц, Майкл (2012-02-06). "Онлайн-банкинг: что упустила BBC и предложение по безопасности" . Получено 2012-02-08 .
28. Перди, Кевин (14 октября 2009 г.). «Использование Linux Live CD/USB для онлайн-банкинга» . Получено 04 февраля 2012 г.
29. Konoth, Radhesh Krishnan; van der Veen, Victor; Bos, Herbert (2017). «How Anywhere Computing Just Kill Your Phone-Based Two-Factor Authentication». В Grossklags, Jens; Preneel, Bart (ред.). Финансовая криптография и безопасность данных . Конспект лекций по информатике. Том 9603. Берлин, Гейдельберг: Springer. С. 405–421. doi :10.1007/978-3-662-54970-4_24. ISBN 978-3-662-54970-4.
30. Finextra Research (13.11.2008). "Commerzbank развернет технологию аутентификации на основе мобильных телефонов Cronto" . Получено 08.02.2012 .
31. Чиковски, Эрика (2010-10-05). «Атаки «Man In The Mobile» выявляют слабые стороны аутентификации вне диапазона». Архивировано из оригинала 2012-03-01 . Получено 2012-02-09 .
32. Schwartz, Mathew J. (2011-07-13). "Zeus Banking Trojan Hits Android Phones". Архивировано из оригинала 2012-07-06 . Получено 2012-02-04 .
33. Балан, Махеш (14.10.2009). «Пользователи интернет-банкинга и мобильного банкинга, будьте бдительны – ZITMO и SPITMO уже здесь!!» . Получено 05.02.2012 .
34. Сартейн, Джули (2012-02-07). "Как защитить онлайн-транзакции с помощью многофакторной аутентификации" . Получено 2012-02-08 .
35. Imperva (2010-02-14). "Мальчик-консультант по угрозам в браузере" . Получено 2015-03-12 .

Внешние ссылки

• Вирусная атака на транзакции HSBC с помощью OTP-устройства
• Вирусная атака на транзакции ICICI Bank
• Вирусная атака на транзакции Citibank
• Хакеры перехитрили системы безопасности онлайн-банкинга BBC Click
• Antisource - ZeuS Краткое описание ZeuS как трояна и ботнета, а также векторы атак
• Видеоролик Man-In-The-Browser на YouTube Президент и генеральный директор Entrust Билл Коннер
• Zeus: король наборов инструментов для борьбы с преступным ПО Видео на YouTube Набор инструментов Zeus, Symantec Security Response
• Насколько безопасен онлайн-банкинг? Аудио BBC Click
• Видео кибератаки «Мальчик в браузере» на YouTube Imperva