Захват формы
Перехват форм — это разновидность вредоносного ПО , которое получает учетные данные для авторизации и входа в систему из формы веб-данных перед их передачей через Интернет на защищенный сервер. Это позволяет вредоносному ПО избегать шифрования HTTPS . Этот метод более эффективен, чем программное обеспечение кейлоггера , поскольку он получает учетные данные пользователя, даже если они вводятся с помощью виртуальной клавиатуры, автозаполнения или копирования и вставки. [1] Затем он может сортировать информацию на основе имен переменных, таких как адрес электронной почты , имя учетной записи и пароль . Кроме того, граббер форм зарегистрирует URL-адрес и заголовок веб-сайта, с которого были собраны данные. [2]
История [ править ]
Метод был изобретен в 2003 году разработчиком варианта трояна Downloader.Barbew , который пытается загрузить Backdoor.Barbew из Интернета и перенести его в локальную систему для выполнения. Однако он не был популяризирован как широко известный тип вредоносных атак до появления печально известного банковского трояна Zeus в 2007 году. [3] нажатий клавиш в браузере Zeus использовался для кражи банковской информации путем регистрации и захвата форм. Как и Zeus, троян Barbew изначально рассылался спамом большому количеству людей по электронной почте, маскируясь под именитые банковские компании. [4] Захват формы как метод, впервые усовершенствованный в итерациях Zeus, позволил модулю не только обнаруживать захваченные данные формы, но также определять, насколько полезной была полученная информация. В более поздних версиях инструмент захвата форм также имел доступ к веб-сайту, на который были отправлены фактические данные, что делало конфиденциальную информацию более уязвимой, чем раньше. [5]
Известные случаи [ править ]
Троян, известный как Tinba ( Tiny Banker Trojan ), был создан с возможностью захвата форм и способен красть учетные данные онлайн-банкинга. Впервые он был обнаружен в 2012 году. Другая программа под названием Weyland-Yutani BOT была первым программным обеспечением, разработанным для атаки на платформу macOS и может работайте в Фаерфоксе . Шаблоны веб-инжектов в Weyland-Yutani BOT отличались от существующих, таких как Zeus и SpyEye . [6]
Другая известная версия — взлом British Airways в сентябре 2018 года. В случае с British Airways серверы организации, судя по всему, были скомпрометированы напрямую: злоумышленники модифицировали один из файлов JavaScript (библиотека Modernizr JavaScript, версия 2.6.2), включив в нее сценарий регистрации личных данных/кредитных карт, который собирал платежную информацию и отправлял ее на сервер, контролируемый злоумышленником, размещенный в домене «baways[.]com» с сертификатом SSL, выданным центром сертификации «Comodo».Мобильное приложение British Airways также загружает веб-страницу, созданную с использованием тех же компонентов CSS и JavaScript, что и основной сайт, включая вредоносный скрипт, установленный Magecart. Таким образом, пострадали и платежи, совершаемые с помощью мобильного приложения British Airways. [7]
Контрмеры [ править ]
В связи с недавним увеличением количества кейлоггеров и перехвата форм антивирусные компании добавляют дополнительную защиту, чтобы противостоять усилиям кейлоггеров и предотвратить сбор паролей. Эти усилия принимали разные формы, в зависимости от антивирусных компаний, таких как Safepay, менеджер паролей и другие. [1] Для дальнейшего противодействия захвату форм права пользователей могут быть ограничены, что не позволит им устанавливать вспомогательные объекты браузера (BHO) и другое программное обеспечение для захвата форм. Администраторам следует создать список вредоносных серверов для своих брандмауэров . [2]
новые контрмеры, такие как использование внеполосной связи для обхода программ захвата форм и « человек в браузере» Также появляются ; примеры включают FormL3SS.; [8] те, кто обходит угрозу, используют другой канал связи для отправки конфиденциальных данных на доверенный сервер. Таким образом, никакая информация о скомпрометированном устройстве не вводится. Альтернативные инициативы, такие как Fidelius, используют дополнительное оборудование для защиты ввода/вывода на скомпрометированном или предположительно скомпрометированном устройстве.
См. также [ править ]
- Регистрация нажатий клавиш
- Вредоносное ПО
- Троянский конь
- Эксплойты веб-безопасности
- Компьютерная небезопасность
- Конфиденциальность в Интернете
- Крошечный троян-банкир
Ссылки [ править ]
- ^ Jump up to: Перейти обратно: а б «Захват сетевых паролей и антивирус». Сообщение в веб-журнале. Служба бизнес-информационных технологий, 24 июля 2013 г.
- ^ Jump up to: Перейти обратно: а б Грэм, Джеймс, Ричард Ховард и Райан Олсон. Основы кибербезопасности. Публикации Ауэрбаха, 2011. Печать.
- ^ *Шевченко, Сергей. «Загрузчик.Бербью». Symantec, 13 февраля 2007 г.
- ^ * Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программах-вымогателях CryptoLocker». Кровоточащие компьютеры. 20 декабря 2013 г.
- ^ * «Захват формы». Сообщение в веб-журнале. Рочестерский технологический институт, 10 сентября 2011 г.
- ^ Крузе, Питер. «Выпущен Crimekit для MacOSX». Архивировано 31 января 2014 г. в сообщении веб-журнала Wayback Machine . Канадская служба безопасности и разведки, 2 мая 2011 г.
- ^ Болат, Джефф. «Криптограб» . Проверено 26 января 2022 г.
- ^ Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и грабберов форм» . Семинар NDSS по измерениям, атакам и защите в Интернете . 2020 . дои : 10.14722/madweb.2020.23016 . ISBN 978-1-891562-63-1 .