Атака «людина в браузері»

Людина в браузері (англ. Man-in-the-browser, скорочено MITB, MitB, MIB), форма інтернет-загрози, походить з людини посередині (MITM), є трояном^[1], який заражає веббраузер, спричиняючи уразливість в безпеці браузера. Це робиться, щоб змінювати вебсторінки, вміст повідомлень або створювати додаткові операції. Всі ці дії виконуються в повністю прихованому режимі, невидимому для користувача і вебсервера. Атака MitB матиме успіх попри наявність механізмів захисту як TLS чи PKI.

Атаки MitB можуть бути протиставлені шляхом використання перевірки транзакції поза зоною, хоча навіть СМС перевірка може інфікувати телефон шкідливою програмою. Троян може бути виявленим і видаленим за допомогою антивірусного програмного забезпечення^[2] з ймовірністю успіху 23 % проти Zeus в 2009 році,^[3] але вже з нижчим показником в 2011.^[4]

У доповіді 2011 року дійшли висновку, що до необхідності введення додаткових заходів, по відношенню до верхніх шарів антивірусу.^[4] З цим пов'язана більш проста атака, BitB^[5]. Більшість професіоналів в сфері фінансових послуг, за результатами досліду, вважають атаку «людина в браузері» великою загрозою для онлайн-банкінгу.

Визначення

Під час атаки «людина в браузері», троян впроваджується в операційну систему або програму та встановлює розширення браузера. Усі зміни запускаються при наступному старті інтернет-оглядача. Зазвичай «людина в браузері» з'являється в образі об'єктів, модулів підтримки (Browser Helper Object), елементів керування ActiveX^[6], розширень для браузера, доповнень, плагінів чи перехваті API функцій. Потім, у випадку звичайної, не універсальною атаки, при кожному завантаженні вебсторінки в браузер, шкідливе розширення перевіряє інтернет-адресу і завантажує сторінки в свій список сайтів-мішеней. Якщо знаходиться відповідність — розширення перехоплює або модифікує дані, введені в вебформи на цільовому сайті і відправлені до вебсерверу, розповіли фахівці з eScan^[7].

«Таким чином, шкідлива програма бере під свій контроль весь трафік, що проходить між комп'ютером користувача і вебсервером, який обслуговує певний сайт, найчастіше — сайт будь-якого фінансового сервісу, — пояснили експерти eScan. — Це дозволяє зловмисникам перехоплювати паролі для входу в систему онлайн-банкінгу або ж підміняти дані вчиненої транзакції з метою перенаправлення грошових коштів на хакерський рахунок».

Згідно з інформацією, представленою Trusteer^[8], універсальний тип атак «людина-в-браузері» не орієнтований на конкретні сайти. Подібні програми можуть обійти багатофакторну автентифікацію. Як тільки вебсайт банку підтвердить правильність введених клієнтом логіну і пароля, троян підмінить дані транзакції. Шкідливий код також здатний забезпечити видимість успішного завершення транзакції, підміняючи зміст, зображений браузером. «Людина в браузері» — дуже підступний тип атак, тому що ні банк, ні користувач не можуть виявити її, незважаючи на багатофакторну автентифікацію, капчі або застосування інших способів автентифікації. Експерти з безпеки виявили, що більшість інтернет-користувачів (73 %) не може розрізнити реальні і підроблені спливаючи попередження, а також не здатні розпізнати контент, створений шкідливим програмним забезпеченням. Реалізуючи даний тип атак, шкідливе розширення браузера збирає всі дані, введені жертвою на будь-яких вебсайтах. При цьому не потрібна додаткова обробка зібраної інформації для виділення автентифікаційних та інших визначених хакером даних, тобто «універсальна атака людина-в-браузері» проводиться в режимі реального часу. «Збір в реальному часі всієї інформації, що вводиться користувачем на відвідуваних сайтах, істотно розширює можливості хакерів по викраденню фінансових акаунтів, — прокоментували відкриття Trusteer^[8] експерти eScan^[7] в Росії і країнах СНД. — Раніше хакери, що використовували атаки „людина-в-браузері“, були обмежені по числу цільових сайтів, або їм було потрібно витрачати додатковий час на витягнення ідентифікаційних даних з усієї маси зібраної інформації. Тепер же перехоплені дані можуть використовуватися негайно, наприклад, відразу ж застосовуватися для вчинення незаконних переказів або продаватися на „чорному“ ринку. Свіжа, актуальна інформація для хакерів завжди найбільш цінна».

Приклади атак

Ін'єкція команд

Корисна в тих випадках, коли автентифікація проводиться лише один раз. В таких випадках перехоплення пакетів даних, які передаються між двома комп'ютерами, є марним, але імовірність викрадення вже авторизованої сесії є мінімальною.

Загрози:

• Ін'єкція команд на сервер;
• Емуляція підроблених відповідей до клієнта.

Шкідливе впровадження коду

Вставка шкідливого коду в вебсторінки або електронною поштою (JavaScript, троянів, вірусів…).

Загрози:

• Модифікація на льоту бінарних файлів під час фази завантаження (вірус, бекдор…).

Атака «людина в мобільному»

Шпигунські мобільні віруси типу «людина в мобільному» (англ. man-in-the-mobile, MitMo^[9]) можуть подолати позасмугову СМС перевірку транзакцій.^[10]

• ZitMo (Zeus-In-The-Mobile) сам по собі не є трояном «людина в браузері» (хоча він виконує подібну проксі-функцію на вхідних SMS-повідомленнях), він є мобільним вірусом, який запропоновано для встановлення на мобільний телефон зараженим комп'ютером. Перехоплюючи всі вхідні SMS-повідомлення, він обходить двофакторну аутентифікацію на базі SMS-банкінгу для Windows Mobile, Android, Symbian, BlackBerry.^[10] ZitMo може бути виявлений антивірусом, який працює на мобільному пристрої.
• SpitMo (SpyEye-In-The-Mobile, SPITMO), подібний до ZitMo.^[11]

Захист

Захист від атак «людина в браузері» пов'язаний зі значними труднощами, оскільки шкідливе розширення браузера діє як можна більш непомітніше. Експерти рекомендують користувачам наступні методи боротьби з даною загрозою:

• виконувати базові правила інформаційної безпеки (не викачувати файли з невідомих ресурсів, своєчасно оновлювати антивіруси, системне і прикладне програмне забезпечення);
• використовувати антивірусну програму, що запобігає проникненню вірусу в браузер, яка захистить не тільки від атак «людина-в-браузері», а й від заражень іншими шкідливими та рекламними розширеннями;
• в налаштуваннях браузера заборонити завантаження розширень і доповнень браузера з недовірених сайтів;
• використовувати для проведення фінансових операцій «чисту», захищену версію браузера з флеш-карти.

На жаль, кінцеві споживачі все ще уразливі для атак типу «людина посередині». Найбільш ефективним контрзаходом вважається автентифікація по зовнішньому каналу (Out-Of-Band, OOB), оскільки зловмисник, що застосовує методику MITM, протоколює лише один канал зв'язку. ООВ передбачає окремий канал для аутентифікації, щоб верифікувати і авторизувати транзакції з високим ризиком. Система ООВ передає користувачеві інформацію про транзакції, наприклад, електронною поштою, SMS або телефоном, і для підтвердження отримання вимагає введення прикладеного одноразового пароля.

В наступній таблиці приводяться основні заходи протистояння атакам типу "людина посередині" і їх реальна ефективність.

Опис	Ефективність проти атак "людина по середині"	Чому?
Використання сильного пароля, періодична його зміна	Не ефективно	Шкідливі програми можуть перехопити пароль напряму через браузер чи просто дочекатись, поки користувач пройде автентифікацію
Використання багатофактурної автентифікації	Не ефективно
Переконатись, що сертифікат SSL[12] дійсний	Не ефективно
Основні принципи безпеки, оновити браузер	Можливо	Шанси інфікування шкідливих програм через атаки соціальної інженерії
Використання окремої системи тільки для онлайн банкінгу	Можливо	Шанси інфікування шкідливою програмою нижче, але вимагає суворої дисципліни, що зустрічається рідко
Використання оновленої антивірусної програми	Іноді	Залежить від можливостей антивірусу знаходити шкідливе ПЗ. Захист менше імовірний проти нових вірусів
Захищений USB накопичувач з влаштованим браузером	Помірно ефективно	Менше шансів інфікування шкідливою програмую типу "людина по середині", але все ще існує імовірність зараження шляхом використання експлойту нульового дня
Будьте уважними під час користування онлайн-банкінгом і завжди уважно перевіряйте всі деталі транзакції до виконання операції. Негайно проінформуйте свій банк при виявленні будь-яких невідповідностей	Помірно ефективно	Зазвичай банки, обізнані про типи атак «людина по середині», посилають деталі транзакції по зовнішньому каналу зв'язку (телефон/смс). Уважно перевірте всі деталі транзакції перед її підтвердженням. Останні атаки типу «людина в браузері» ще більш витонченими і пропонують жертві встановити шкідливу програму на мобільний телефон, що дозволяє злочинцям перехопити і змінити навіть смс повідомлення, передане по зовнішньому каналу зв'язку.

Примітки

1. The Evolution of Proxy Trojans | SecurityWeek.Com. www.securityweek.com. Архів оригіналу за 20 березня 2016. Процитовано 23 березня 2016.
2. Trojan-Spy: W32/Nuklus.A Description | F-Secure Labs. www.f-secure.com. Архів оригіналу за 8 березня 2016. Процитовано 23 березня 2016.
3. Trusteer (2009-09-14). "Measuring the in-the-wild effectiveness of Antivirus against Zeus" (PDF). Архів оригіналу (PDF) за 6 листопада 2011.
4. "Web Browsers: Your Weak Link in Achieving PCI Compliance" (PDF). Архів оригіналу (PDF) за 10 квітня 2016.
5. boy-in-the-browser attacks - Пошук Google. www.google.com.ua. Процитовано 26 березня 2016.
6. ActiveXObject Object (JavaScript). msdn.microsoft.com. Архів оригіналу за 8 квітня 2016. Процитовано 23 березня 2016.
7. eScan Antivirus | Best Protection from Viruses. www.escanav.com. Архів оригіналу за 22 березня 2016. Процитовано 23 березня 2016.
8. Trusteer. www.trusteer.com. Архів оригіналу за 12 березня 2016. Процитовано 23 березня 2016.
9. Chickowski, Ericka (5 жовтня 2010). 'Man In The Mobile' Attacks Highlight Weaknesses In Out-Of-Band Authentication. Архів оригіналу за 1 березня 2012. Процитовано 9 лютого 2012.
10. Schwartz, Mathew J. (13 липня 2011). Zeus Banking Trojan Hits Android Phones. Архів оригіналу за 6 липня 2012. Процитовано 4 лютого 2012.
11. Balan, Mahesh (14 жовтня 2009). Internet Banking & Mobile Banking users beware – ZITMO & SPITMO is here !. Архів оригіналу за 27 червня 2017. Процитовано 5 лютого 2012.
12. What is an SSL Certificate?. www.globalsign.com. Архів оригіналу за 22 березня 2016. Процитовано 23 березня 2016.

Див. також

• Міжсайтовий скриптінг
• Формграббер
• Інформаційна загроза
• Інтернет-банкінг
• Токен автентифікації
• Хронологія комп'ютерних вірусів та хробаків

Посилання

• https://securityintelligence.com/one-size-fits-all-universal-man-in-the-browser-attack-targets-all-websites/ [Архівовано 14 травня 2015 у Wayback Machine.]
• http://translatedby.com/you/zero-day-attack/into-ru/trans/ [Архівовано 17 серпня 2016 у Wayback Machine.]
• http://securityaffairs.co/wordpress/17538/cyber-crime/man-browser-attacks-scare-banking.html [Архівовано 22 грудня 2015 у Wayback Machine.]
• https://web.archive.org/web/20120120004836/http://www.antisource.com/article.php/zeus-botnet-summary Кількість атак ZeuS під виглядом трояну
• https://www.youtube.com/watch?v=8QYsO1kgse4 [Архівовано 7 березня 2016 у Wayback Machine.] Інструменти ZeuS
• http://news.bbc.co.uk/2/hi/programmes/click_online/9692312.stm [Архівовано 16 березня 2016 у Wayback Machine.]
• http://www.bbc.co.uk/news/technology-16812064 [Архівовано 4 березня 2016 у Wayback Machine.]
• http://www.ksyash.com/2011/12/virus-attack-on-icici-bank-transactions/ [Архівовано 4 квітня 2016 у Wayback Machine.]
• http://www.ksyash.com/2012/01/virus-attack-on-hsbc-transactions-with-otp-device/ [Архівовано 2 квітня 2016 у Wayback Machine.]
• http://www.ksyash.com/2011/12/virus-attack-on-citibank-transactions/ [Архівовано 3 квітня 2016 у Wayback Machine.]