Захват формы

Перехват форм — это разновидность вредоносного ПО , которое получает учетные данные для авторизации и входа в систему из формы веб-данных перед их передачей через Интернет на защищенный сервер. Это позволяет вредоносному ПО избегать шифрования HTTPS . Этот метод более эффективен, чем программное обеспечение кейлоггера , поскольку он получает учетные данные пользователя, даже если они вводятся с помощью виртуальной клавиатуры, автозаполнения или копирования и вставки. ^[1] Затем он может сортировать информацию на основе имен переменных, таких как адрес электронной почты , имя учетной записи и пароль . Кроме того, граббер форм зарегистрирует URL-адрес и заголовок веб-сайта, с которого были собраны данные. ^[2]

История [ править ]

Метод был изобретен в 2003 году разработчиком варианта трояна Downloader.Barbew , который пытается загрузить Backdoor.Barbew из Интернета и перенести его в локальную систему для выполнения. Однако он не был популяризирован как широко известный тип вредоносных атак до появления печально известного банковского трояна Zeus в 2007 году. ^[3] нажатий клавиш в браузере Zeus использовался для кражи банковской информации путем регистрации и захвата форм. Как и Zeus, троян Barbew изначально рассылался спамом большому количеству людей по электронной почте, маскируясь под именитые банковские компании. ^[4] Захват формы как метод, впервые усовершенствованный в итерациях Zeus, позволил модулю не только обнаруживать захваченные данные формы, но также определять, насколько полезной была полученная информация. В более поздних версиях инструмент захвата форм также имел доступ к веб-сайту, на который были отправлены фактические данные, что делало конфиденциальную информацию более уязвимой, чем раньше. ^[5]

Известные случаи [ править ]

Троян, известный как Tinba ( Tiny Banker Trojan ), был создан с возможностью захвата форм и способен красть учетные данные онлайн-банкинга. Впервые он был обнаружен в 2012 году. Другая программа под названием Weyland-Yutani BOT была первым программным обеспечением, разработанным для атаки на платформу macOS и может работайте в Фаерфоксе . Шаблоны веб-инжектов в Weyland-Yutani BOT отличались от существующих, таких как Zeus и SpyEye . ^[6]

Другая известная версия — взлом British Airways в сентябре 2018 года. В случае с British Airways серверы организации, судя по всему, были скомпрометированы напрямую: злоумышленники модифицировали один из файлов JavaScript (библиотека Modernizr JavaScript, версия 2.6.2), включив в нее сценарий регистрации личных данных/кредитных карт, который собирал платежную информацию и отправлял ее на сервер, контролируемый злоумышленником, размещенный в домене «baways[.]com» с сертификатом SSL, выданным центром сертификации «Comodo».Мобильное приложение British Airways также загружает веб-страницу, созданную с использованием тех же компонентов CSS и JavaScript, что и основной сайт, включая вредоносный скрипт, установленный Magecart. Таким образом, пострадали и платежи, совершаемые с помощью мобильного приложения British Airways. ^[7]

Контрмеры [ править ]

В связи с недавним увеличением количества кейлоггеров и перехвата форм антивирусные компании добавляют дополнительную защиту, чтобы противостоять усилиям кейлоггеров и предотвратить сбор паролей. Эти усилия принимали разные формы, в зависимости от антивирусных компаний, таких как Safepay, менеджер паролей и другие. ^[1] Для дальнейшего противодействия захвату форм права пользователей могут быть ограничены, что не позволит им устанавливать вспомогательные объекты браузера (BHO) и другое программное обеспечение для захвата форм. Администраторам следует создать список вредоносных серверов для своих брандмауэров . ^[2]

новые контрмеры, такие как использование внеполосной связи для обхода программ захвата форм и « человек в браузере» Также появляются ; примеры включают FormL3SS.; ^[8] те, кто обходит угрозу, используют другой канал связи для отправки конфиденциальных данных на доверенный сервер. Таким образом, никакая информация о скомпрометированном устройстве не вводится. Альтернативные инициативы, такие как Fidelius, используют дополнительное оборудование для защиты ввода/вывода на скомпрометированном или предположительно скомпрометированном устройстве.

См. также [ править ]

Ссылки [ править ]

^ Jump up to: Перейти обратно: ^а ^б «Захват сетевых паролей и антивирус». Сообщение в веб-журнале. Служба бизнес-информационных технологий, 24 июля 2013 г.
^ Jump up to: Перейти обратно: ^а ^б Грэм, Джеймс, Ричард Ховард и Райан Олсон. Основы кибербезопасности. Публикации Ауэрбаха, 2011. Печать.
^ *Шевченко, Сергей. «Загрузчик.Бербью». Symantec, 13 февраля 2007 г.
^ * Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программах-вымогателях CryptoLocker». Кровоточащие компьютеры. 20 декабря 2013 г.
^ * «Захват формы». Сообщение в веб-журнале. Рочестерский технологический институт, 10 сентября 2011 г.
^ Крузе, Питер. «Выпущен Crimekit для MacOSX». Архивировано 31 января 2014 г. в сообщении веб-журнала Wayback Machine . Канадская служба безопасности и разведки, 2 мая 2011 г.
^ Болат, Джефф. «Криптограб» . Проверено 26 января 2022 г.
^ Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и грабберов форм» . Семинар NDSS по измерениям, атакам и защите в Интернете . 2020 . дои : 10.14722/madweb.2020.23016 . ISBN 978-1-891562-63-1 .

[BITS-1] Jump up to: Перейти обратно: ^а ^б «Захват сетевых паролей и антивирус». Сообщение в веб-журнале. Служба бизнес-информационных технологий, 24 июля 2013 г.

[Cyber_Security_Essentials-2] Jump up to: Перейти обратно: ^а ^б Грэм, Джеймс, Ричард Ховард и Райан Олсон. Основы кибербезопасности. Публикации Ауэрбаха, 2011. Печать.

[3] *Шевченко, Сергей. «Загрузчик.Бербью». Symantec, 13 февраля 2007 г.

[4] * Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программах-вымогателях CryptoLocker». Кровоточащие компьютеры. 20 декабря 2013 г.

[5] * «Захват формы». Сообщение в веб-журнале. Рочестерский технологический институт, 10 сентября 2011 г.

[6] Крузе, Питер. «Выпущен Crimekit для MacOSX». Архивировано 31 января 2014 г. в сообщении веб-журнала Wayback Machine . Канадская служба безопасности и разведки, 2 мая 2011 г.

[7] Болат, Джефф. «Криптограб» . Проверено 26 января 2022 г.

[8] Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и грабберов форм» . Семинар NDSS по измерениям, атакам и защите в Интернете . 2020 . дои : 10.14722/madweb.2020.23016 . ISBN 978-1-891562-63-1 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

v т и вредоносного ПО Темы
Инфекционное вредоносное ПО	Сравнение компьютерных вирусов Компьютерный вирус Компьютерный червь Список компьютерных червей Хронология компьютерных вирусов и червей
Сокрытие	Черный ход Кликджекинг Человек в браузере Человек посередине Руткит Троянский конь Зомби-компьютер
Вредоносное ПО для получения прибыли	Рекламное ПО Ботнет Криминальное ПО Флисовая посуда Захват формы Мошенническая звонилка Мальбот Регистрация нажатий клавиш Программное обеспечение, нарушающее конфиденциальность программы-вымогатели Мошенническое программное обеспечение безопасности пугающие программы Шпионское ПО Веб-угрозы
По операционной системе	вредоносное ПО для Android Классические вирусы Mac OS вредоносное ПО для iOS вредоносное ПО для Linux вредоносное ПО для MacOS Макровирус Мобильное вредоносное ПО Вирусы для Palm OS Вирусы HyperCard
Защита	Анти-кейлоггер Антивирусное программное обеспечение Безопасность браузера Программное обеспечение для предотвращения потери данных Оборонительные вычисления Брандмауэр Интернет-безопасность Система обнаружения вторжений Мобильная безопасность Сетевая безопасность
Контрмеры	Компьютерное и сетевое наблюдение Приманка Операция: Жареный бот