Человек в браузере
«Человек в браузере» ( MITB , MitB , MIB , MiB ), форма интернет- угрозы , связанная с «человеком посередине» (MITM), представляет собой прокси- троянский конь. [ 1 ] который заражает веб-браузер, используя уязвимости в безопасности браузера для изменения веб-страниц , изменения содержимого транзакций или вставки дополнительных транзакций, и все это скрытым образом, невидимым как для пользователя, так и для хостового веб-приложения . MitB Атака будет успешной независимо от механизмов безопасности, таких как SSL / PKI и/или двух- или трехфакторной аутентификации наличия . Атаке MitB можно противостоять, используя внеполосную проверку транзакций, хотя проверку SMS можно обойти путем человек на мобильном телефоне» ( MitMo ) заражения вредоносным ПО « на мобильном телефоне . Трояны могут быть обнаружены и удалены антивирусным программным обеспечением; [ 2 ] но в отчете 2011 года был сделан вывод о необходимости дополнительных мер помимо антивирусного программного обеспечения. [ 3 ] [ нужно обновить ]
Похожая, более простая атака — это атака «мальчик в браузере» ( BitB , BITB ).
Большинство специалистов финансовых услуг в опросе 2014 года считали MitB самой большой угрозой для онлайн-банкинга . [ 4 ]
Описание
[ редактировать ]Угрозу MitB продемонстрировал Аугусто Паес де Баррос в своей презентации 2005 года о тенденциях бэкдоров «Будущее бэкдоров – худший из всех миров». [ 5 ] Название «человек в браузере» было придумано Филиппом Гюрингом 27 января 2007 года. [ 6 ]
Троян MitB работает, используя общие средства, предоставляемые для расширения возможностей браузера, такие как вспомогательные объекты браузера (функция, ограниченная Internet Explorer ), расширения браузера и пользовательские сценарии (например, в JavaScript ). [ 6 ] Антивирусное программное обеспечение может обнаружить некоторые из этих методов. [ 2 ]
Вкратце, пример обмена между пользователем и хостом, такого как перевод средств через интернет-банкинг , клиенту всегда будет показываться на экранах подтверждения точной платежной информации, введенной в браузер. Однако банк получит транзакцию с существенно измененными инструкциями, т.е. с другим номером счета назначения и, возможно, суммой. Использование инструментов строгой аутентификации просто создает повышенный уровень неуместной уверенности как со стороны клиента, так и со стороны банка в том, что транзакция безопасна. Аутентификация по определению связана с проверкой идентификационных данных. Это не следует путать с проверкой транзакции.
Примеры
[ редактировать ]Примеры угроз MitB в разных операционных системах и веб-браузерах :
Имя | Подробности | Операционная система | Браузер |
---|---|---|---|
Агент.DBJP [ 7 ] | Окна | ИЕ, Фаерфокс | |
Тяжелый [ 8 ] | Окна | ИЕ, Фаерфокс | |
Карберп | нацелен на пользователей Facebook, погашающих электронные денежные ваучеры [ 9 ] | Окна | ИЕ, Фаерфокс |
ChromeInject * [ 10 ] | Greasemonkey Имитатор [ 11 ] | Окна | Firefox |
Зажатый [ 12 ] | Окна | ИЕ | |
крайняя плоть [ 1 ] | Окна | ИЕ, Фаерфокс | |
Ядро [ 2 ] [ 11 ] | Окна | ИЕ | |
Одджоб [ 13 ] | держит банковскую сессию открытой | Окна | ИЕ, Фаерфокс |
Тихие банки [ 14 ] | Окна | ИЕ, Фаерфокс | |
Силос [ 15 ] | Окна | ИЕ | |
шпионский глаз [ 16 ] | преемник Зевса, широко распространен, низкая обнаруженность | Окна | ИЕ, Фаерфокс |
Солнечное пятно [ 17 ] | широко распространенный, низкий уровень обнаружения | Окна | ИЕ, Фаерфокс |
Глупый [ 18 ] | Окна | IE, Firefox, Chrome , Opera , Safari , Maxthon , Netscape , Konqueror | |
Крошечный троян-банкир [ 19 ] | Самый маленький банковский троян, обнаруженный в дикой природе, размером 20 КБ | Окна | ИЕ, Фаерфокс |
Торпиг ** [ 15 ] | Окна | ИЕ, Фаерфокс | |
URL-зона **** [ 1 ] | Окна | ИЕ, Фаерфокс, Опера | |
Вейланд-Ютани БОТ [ 20 ] | комплект криминальной программы , аналогичный Zeus, не получил широкого распространения [ 20 ] [ 21 ] | Мак ОС Х | Firefox |
Съешь это [ 15 ] | Окна | ИЕ | |
Зевс *** [ 12 ] | широко распространенный, низкий уровень обнаружения | Окна | ИЕ, Фаерфокс |
Ключ | Windows : IE | Windows : IE и Firefox или Firefox | Окна : другое | Mac OS X : любая |
*ChromeInject, также известный как ChromeInject.A, ChromeInject.B, Banker.IVX, Inject.NBT, Bancos-BEX, Drop.Small.abw [ 10 ] | ||||
**Торпиг, он же Синовал, Ансерин [ 1 ] | ||||
***Зевс он же ZeuS, Zbot, [ 22 ] Вснпоэма, [ 23 ] [ 24 ] НТОС, [ 25 ] ПРГ, [ 25 ] Кнебер, [ 26 ] Горхакс [ 26 ] | ||||
****URLZone, также известный как Bebloh!IK, Runner.82176, Monder, ANBR, Sipay.IU, Runner.fq, PWS.y!cy, Zbot.gen20, Runner.J, BredoPk-B, Runner.EQ |
Защита
[ редактировать ]Известные трояны могут быть обнаружены, заблокированы и удалены антивирусным программным обеспечением. [ 2 ] В исследовании 2009 года эффективность антивируса против Зевса составила 23%. [ 25 ] и снова низкие показатели успеха были отмечены в отдельном тесте в 2011 году. [ 3 ] В отчете 2011 года сделан вывод о необходимости дополнительных мер помимо антивирусной защиты. [ 3 ]
Защищенное программное обеспечение
[ редактировать ]- Программное обеспечение безопасности браузера. Атаки MitB могут быть заблокированы программным обеспечением безопасности браузера, таким как Cymatic.io, Trusteer Rapport для Microsoft Windows и Mac OS X , которое блокирует API-интерфейсы расширений браузера и контролирует связь. [ 11 ] [ 12 ] [ 15 ]
- Альтернативное программное обеспечение: снижение или устранение риска заражения вредоносным ПО с помощью портативных приложений или альтернатив Microsoft Windows, таких как Mac OS X , Linux или мобильных ОС Android, iOS , ChromeOS , Windows Mobile , Symbian и т. д., и/или браузеров Chrome. или Опера . [ 27 ] Дополнительную защиту можно обеспечить, запустив эту альтернативную ОС, например Linux, с неустановленного Live CD или Live USB . [ 28 ]
- Безопасный веб-браузер. Некоторые поставщики теперь могут предоставить решение двухфакторной безопасности, частью которого является безопасный веб-браузер. [ 29 ] В этом случае атак MitB можно избежать, поскольку пользователь запускает усиленный браузер со своего устройства двухфакторной безопасности, а не запускает «зараженный» браузер со своего компьютера.
Внеполосная проверка транзакций
[ редактировать ]Теоретически эффективным методом борьбы с любой атакой MitB является процесс проверки транзакций по внешнему каналу (OOB). Это позволяет преодолеть троян MitB, проверяя детали транзакции, полученные хостом (банком), пользователю (клиенту) по каналу, отличному от браузера; например, автоматический телефонный звонок, SMS или специальное мобильное приложение с графической криптограммой. [ 30 ] Проверка транзакций OOB идеально подходит для массового использования, поскольку она использует устройства, уже находящиеся в свободном доступе (например, стационарный телефон , мобильный телефон и т. д.), и не требует дополнительных аппаратных устройств, но при этом обеспечивает трехфакторную аутентификацию (с использованием голосовой биометрии ), подписание транзакций ( до уровня невозможности отказа) и проверка транзакции. Обратной стороной является то, что проверка транзакций OOB увеличивает уровень разочарования конечного пользователя из-за большего количества и более медленных шагов.
Человек в мобильном телефоне
[ редактировать ]Мобильный телефон, мобильный троян -шпион «Человек в мобильном» ( MitMo ) [ 31 ] может обойти проверку транзакции OOB SMS. [ 32 ]
- ZitMo (Zeus-In-The-Mobile) сам по себе не является трояном MitB (хотя он выполняет аналогичную функцию прокси для входящих SMS-сообщений), а представляет собой мобильное вредоносное ПО, предлагаемое для установки на мобильный телефон зараженным Zeus компьютером. Перехватывая все входящие SMS-сообщения, он обходит двухфакторную банковскую аутентификацию OOB на основе SMS на Windows Mobile , Android , Symbian и BlackBerry . [ 32 ] ZitMo может быть обнаружен антивирусом, работающим на мобильном устройстве.
- SpitMo (SpyEye-In-The-Mobile, SPITMO) похож на ZitMo. [ 33 ]
Обнаружение веб-мошенничества
[ редактировать ]В банке может быть реализовано обнаружение веб-мошенничества для автоматической проверки аномальных моделей поведения в транзакциях. [ 34 ] Не удалось согласование TLS: FAILED_PRECONDITION: ошибка starttls (71): 126011017202752: ошибка: 1000012e: процедуры SSL: OPENSSL_internal: KEY_USAGE_BIT_INCORRECT: Third_party/openssl/boringssl/src/ssl/ssl_cert.cc: 431:
Связанные атаки
[ редактировать ]Прокси-трояны
[ редактировать ]Кейлоггеры — самая примитивная форма прокси-троянов , за ними следуют устройства записи сеансов браузера, которые захватывают больше данных, и, наконец, MitB — самый сложный тип. [ 1 ]
Человек посередине
[ редактировать ]SSL/PKI и т. д. могут обеспечить защиту от атаки «человек посередине» , но не обеспечивают защиты от атаки «человек в браузере».
Мальчик в браузере
[ редактировать ]Похожая атака, которую авторы вредоносных программ могут настроить проще и быстрее, называется «мальчик в браузере» ( BitB или BITB ). Вредоносное ПО используется для изменения маршрутизации компьютерной сети клиента для выполнения классической атаки «человек посередине». После изменения маршрутизации вредоносное ПО может полностью удалиться, что затруднит его обнаружение. [ 35 ]
Кликджекинг
[ редактировать ]Кликджекинг заставляет пользователя веб-браузера щелкнуть по чему-то, отличному от того, что он воспринимает, с помощью вредоносного кода на веб-странице.
См. также
[ редактировать ]- Захват формы
- ИТ-риск
- Угроза (компьютер)
- Хронология компьютерных вирусов и червей
- Токен безопасности
- Номер аутентификации транзакции
- Взлом DNS
Ссылки
[ редактировать ]- ^ Перейти обратно: а б с д и Бар-Йосеф, Ноа (30 декабря 2010 г.). «Эволюция прокси-троянов» . Проверено 3 февраля 2012 г.
- ^ Перейти обратно: а б с д F-Secure (11 февраля 2007 г.). «Описание угрозы: Trojan-Spy:W32/Nuklus.A» . Проверено 3 февраля 2012 г.
- ^ Перейти обратно: а б с Quarri Technologies, Inc (2011). «Веб-браузеры: ваше слабое звено в достижении соответствия PCI» (PDF) . Проверено 5 февраля 2012 г.
- ^ Фернандес, Диего АБ; СОАРЕС, Лилиана ФБ; ГОМЕШ, Жуан В.; Фрейре, Марио М.; Инасио, Педро Р.М. (1 апреля 2014 г.). «Проблемы безопасности в облачных средах: исследование» . Международный журнал информационной безопасности . 13 (2): 113–170. дои : 10.1007/s10207-013-0208-7 . ISSN 1615-5270 . S2CID 3330144 .
- ^ Паес де Баррос, Аугусто (15 сентября 2005 г.). «Будущее бэкдоров — худший из всех миров» (PDF) (на португальском языке). Сан-Паулу, Бразилия: Национальный конгресс системного аудита, информационной безопасности и управления – CNASI. Архивировано из оригинала (PDF) 6 июля 2011 года . Проверено 12 июня 2009 г.
- ^ Перейти обратно: а б Гюринг, Филипп (27 января 2007 г.). «Концепции борьбы с атаками типа «человек в браузере»» (PDF) . Проверено 30 июля 2008 г.
- ^ Данн, Джон Э (3 июля 2010 г.). «Создатели троянов атакуют британские банки с помощью бот-сетей» . Проверено 8 февраля 2012 г.
- ^ Данн, Джон Э (12 октября 2010 г.). «Zeus — не единственная угроза банковского трояна, — предупредили пользователи» . Проверено 3 февраля 2012 г.
- ^ Кертис, Софи (18 января 2012 г.). «Пользователи Facebook подверглись атаке Carberp «человек в браузере»» . Проверено 3 февраля 2012 г.
- ^ Перейти обратно: а б Марущак Клаудиу Флорин (28 ноября 2008 г.). «Средство удаления Trojan.PWS.ChromeInject.B» . Проверено 5 февраля 2012 г.
- ^ Перейти обратно: а б с Наттакант Утакрит, Школа компьютерных наук и безопасности, Университет Эдит Коуэн (25 февраля 2011 г.). «Обзор расширений браузера: методы фишинга «человек в браузере», нацеленные на клиентов банков» . Проверено 3 февраля 2012 г.
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Перейти обратно: а б с Symantec Марк Фосси (08 декабря 2010 г.). «Банковские трояны в стиле ZeuS считаются наибольшей угрозой для онлайн-банкинга: опрос» . Архивировано из оригинала 8 августа 2011 г. Проверено 3 февраля 2012 г.
- ^ Тед Самсон (22 февраля 2011 г.). «Коварное вредоносное ПО OddJob делает банковские счета в Интернете открытыми для хищения» . Проверено 6 февраля 2012 г.
- ^ Symantec Марк Фосси (23 января 2008 г.). «Банковское дело с уверенностью» . Проверено 30 июля 2008 г.
- ^ Перейти обратно: а б с д Доверительный управляющий. «Доверительное взаимопонимание» . Проверено 3 февраля 2012 г.
- ^ Генеральный директор Trusteer Микки Будаи (31 марта 2011 г.). «Атаки «человек в браузере» нацелены на предприятие» . Архивировано из оригинала 8 декабря 2011 г. Проверено 3 февраля 2012 г.
- ^ www.net-security.org (11 мая 2011 г.). «Взрывоопасное финансовое вредоносное ПО нацелено на Windows» . Проверено 6 февраля 2012 г.
- ^ Йожеф Гегени; Хосе Мигель Эспарса (25 февраля 2011 г.). «Tatanga: новый банковский троян с функциями MitB» . Проверено 3 февраля 2012 г.
- ^ «Маленький банковский троян Tinba — большая проблема» . msnbc.com . 31 мая 2012 года . Проверено 28 февраля 2016 г.
- ^ Перейти обратно: а б Бореан, Уэйн (24 мая 2011 г.). «Вирус Mac OS X, которого не было» . Проверено 8 февраля 2012 г.
- ^ Фишер, Деннис (2 мая 2011 г.). «Появляется комплект Crimeware для Mac OS X» . Архивировано из оригинала 5 сентября 2011 года . Проверено 3 февраля 2012 г.
- ^ F-безопасно. «Описание угрозыTrojan-Spy:W32/Zbot» . Проверено 5 февраля 2012 г.
- ^ Хён Чой; Шон Кирнан (24 июля 2008 г.). «Технические подробности Trojan.Wsnpoem» . Симантек. Архивировано из оригинала 23 февраля 2010 года . Проверено 5 февраля 2012 г.
- ^ Майкрософт (30 апреля 2010 г.). «Запись в энциклопедии: Win32/Zbot — Узнайте больше о вредоносных программах — Центр защиты от вредоносных программ Microsoft» . Симантек . Проверено 5 февраля 2012 г.
- ^ Перейти обратно: а б с Попечитель (14 сентября 2009 г.). «Измерение эффективности антивируса против Zeus в реальных условиях» (PDF) . Архивировано из оригинала (PDF) 6 ноября 2011 года . Проверено 5 февраля 2012 г.
- ^ Перейти обратно: а б Ричард С. Уэстморленд (20 октября 2010 г.). «Антиисточник — ЗевС» . Архивировано из оригинала 20 января 2012 г. Проверено 5 февраля 2012 г.
- ^ Горовиц, Майкл (6 февраля 2012 г.). «Интернет-банкинг: что пропустила BBC и рекомендации по безопасности» . Проверено 8 февраля 2012 г.
- ^ Перди, Кевин (14 октября 2009 г.). «Используйте Linux Live CD/USB для онлайн-банкинга» . Проверено 4 февраля 2012 г.
- ^ Конот, Радеш Кришнан; ван дер Вин, Виктор; Бос, Герберт (2017). «Как вездесущие компьютеры просто убили вашу двухфакторную аутентификацию на телефоне» . В Гроссклагсе, Йенс; Пренил, Барт (ред.). Финансовая криптография и безопасность данных . Конспекты лекций по информатике. Том. 9603. Берлин, Гейдельберг: Springer. стр. 405–421. дои : 10.1007/978-3-662-54970-4_24 . ISBN 978-3-662-54970-4 .
- ^ Finextra Research (13 ноября 2008 г.). «Коммерцбанк внедрит технологию аутентификации Cronto на базе мобильных телефонов» . Проверено 8 февраля 2012 г.
- ^ Чиковски, Эрика (05 октября 2010 г.). « Атаки типа «человек в мобильном телефоне» подчеркивают слабые места внеполосной аутентификации» . Архивировано из оригинала 1 марта 2012 г. Проверено 9 февраля 2012 г.
- ^ Перейти обратно: а б Шварц, Мэтью Дж. (13 июля 2011 г.). «Банковский троян Zeus попал в телефоны Android» . Архивировано из оригинала 6 июля 2012 г. Проверено 4 февраля 2012 г.
- ^ Балан, Махеш (14 октября 2009 г.). «Пользователи Интернет-банкинга и мобильного банкинга, будьте осторожны – ZITMO и SPITMO уже здесь!!» . Проверено 5 февраля 2012 г.
- ^ Сартэн, Джули (07 февраля 2012 г.). «Как защитить онлайн-транзакции с помощью многофакторной аутентификации» . Проверено 8 февраля 2012 г.
- ^ Имперва (14 февраля 2010 г.). «Мальчик-консультант по угрозам в браузере» . Проверено 12 марта 2015 г.
Внешние ссылки
[ редактировать ]- Вирусная атака на транзакции HSBC с использованием OTP-устройства
- Вирусная атака на банковские транзакции ICICI
- Вирусная атака на Citibank Transactions
- Хакеры перехитрили системы защиты личных данных онлайн-банкинга BBC Click
- Antisource - ZeuS Краткое описание ZeuS как трояна и ботнета, а также направления атак
- Видео «Человек в браузере» на YouTube Президент и генеральный директор Entrust Билл Коннер
- Zeus: король наборов инструментов для криминального ПО Видео на YouTube Набор инструментов Zeus, Symantec Security Response
- Насколько безопасен онлайн-банкинг? Аудио BBC Click
- Видео о кибератаке «Мальчик в браузере» на YouTube Imperva