Формграббер (від англ. form grabbing — захоплення форми) — шпигунська програма, яка перехоплює паролі та логіни користувача перед тим, як вони будуть передані через інтернет до сервера. Такий спосіб дії дозволяє вірусу отримати інформацію до початку HTTPS шифрування. Цей механізм діє більш ефективно ніж кейлогер, тому, що може отримати данні користувача при різних способах заповнення форм: з клавіатури реальної чи віртуальної, перетягуванням, копіюванням, автоматичними засобами браузера.[1] Інформація може бути відсортована формграббером по типам даних, такі як e-mail, ім'я облікового запису, і пароль. Крім того, формграббер використовуючи URL може отримати данні з відповідного сайту.[2] Перехоплення даних не змінює функціонування основної системи, введена користувачем інформація коректно передається і обробляється.

Історія ред.

Перші формграббери з'явилися в 2003 році з Trojan Berbew. На 2009 рік до 90% всіх крадіжок паролів троянами припадає на версії з функцією формграббера.

Принцип дії ред.

На відміну від кейлогерів, формграббер не веде спостереження за діями користувача. Така програма приховано перебирає всі вікна класу «Edit» і перевіряє наявність стилю «ES_PASSWORD (& H20)» біля вікна або спеціального іменування. Наявні у вікні дані копіюються в лог або відправляються зловмисникові.

При роботі з браузерами для крадіжки паролів з web-форм формграббер перераховує всі поля для введення текстової інформації на web сторінці (приблизно так працюють програми автозаповнення форм), і знайшовши значуще поле (наприклад, з типом «password») копіює інформацію що міститься в ньому.

Формграббер може перехоплювати дані, що відсилаються на сервер формами після їх заповнення. Такий підхід менш залежний від типу використовуваного браузера або поштового клієнта, але перехоплення для захищених з'єднань може виявитися невдалим.

Захист ред.

Виявлення формграббера на комп'ютері може бути ускладнене, оскільки використовуються звичайні системні функції роботи з вікнами. Передачі вкраденої інформації може перешкоджати мережевий екран, який не дасть незнайомій програмі відправити дані в мережу.

Особливість архітектури браузера Internet Explorer будь-яких версій дозволяє стороннім програмам звертатися до будь-якого елементу вебсторінки, яка відкрита в цьому браузері.[джерело?] Браузери Opera і Firefox дозволяють отримати доступ до елементу відкритої вебсторінки лише встановленим безпосередньо в сам браузер розширень (плагінів).

Примітки ред.

  1. «Capturing Online Passwords and Antivirus.» Web log post. Business Information Technology Services, 24 July 2013.
  2. Graham, James, Richard Howard, and Ryan Olson. Cyber Security Essentials. Auerbach Publications, 2011. Print.

Посилання ред.