Матрешка на окошке: на новую ловушку в браузерах может попасться любой

Специалисты по IT-безопасности предупреждают о набирающем популярность методе атаки на браузеры, который позволяет создавать фишинговые формы входа с использованием приема «браузер в браузере» (browser-in-browser). Суть ловушки проста: поддавшись на полную схожесть окон для авторизации, пользователь рискует «подарить» свои учетные данные злоумышленникам. Эксперты отмечают, что в случае с интернет-рекламой этот вид атаки, безусловно, открывает для злоумышленников новые возможности. Вместе с тем Минцифры уже сейчас разрабатывает новую антифишинговую систему с широким набором функций. Подробности — в материале «Известий».

Значки доверия

В последние недели набирает особую популярность фишинговая атака «браузер в браузере» (browser-in-the-browser, BitB), при которой создается полностью поддельное окно браузера, включая значки доверия, сообщили «Известиям» в ГК «Информзащита» и в других IT-компаниях. Исследователи в области информационной безопасности (ИБ) обеспокоены, что подобные атаки будут активно применяться преступным сообществом прежде всего под маской рекламы.

Одним из первых об этой угрозе совсем недавно предупредил независимый исследователь в области ИБ, использующий традиционный для программистского сообщества псевдоним mr.d0x. Он заявил, что новая атака делает URL-адреса в высшей степени ненадежными. Хотя традиционно для специалистов по безопасности URL-адрес считается наиболее надежным аспектом домена.

— В случае данной атаки разницу между обычным браузерным окном и фишинговой ловушкой заметить вообще почти нельзя, — объясняет руководитель направления компьютерной криминалистики центра мониторинга киберугроз IZ:SOC компании «Информзащита» Никита Панов. — Обычно мы учим: смотрите на «замочек» в строке браузера, чтобы он был зеленый. Это доказывает валидность сертификата сайта. Смотрите на имя домена, чтобы без искажений было. А в данном случае окно, по сути, фейковое. Это просто объект на странице, и его можно перемещать даже мышкой.

Для того чтобы сымитировать окно браузера, используется смесь кода HTML и CSS. При черной технике BitB окно браузера имитируется с целью подделки легитимного домена, что позволяет проводить правдоподобные фишинговые атаки. Причем угрозам подвержены все, кто пользуется Google, Microsoft, Apple или Linux. Данный метод использует сторонние возможности технологии единого входа (SSO), которые встроены в такие службы, как Google Sign-In (такая же система действует с соцсетями). На экране это будет выглядеть как что-то вроде кнопки «Войти с помощью...», а далее появится всплывающее окно с запросом данных для доступа к учетной записи или профилю.

Как правило, объясняют эксперты по анализу защищенности «Информзащиты», фишинговое окно включает значок закрытого замка и URL-адрес ресурса (поддельный), что не вызывает сомнений в безопасности процесса аутентификации. Но если в браузере правильно настроена политика безопасности и обновлены все патчи антивирусов, то злоумышленнику будет сложно вставить нелегитимную страницу. Хотя хакеры нередко используют такие методы, как кликджекинг или исправление пользовательского интерфейса, который изменяет внешний вид браузеров и веб-страниц, чтобы обойти защиту. Благодаря атаке кликджекинга можно, например, вставить прозрачный элемент поверх кнопки веб-страницы, чтобы пользовательское действие было перехвачено злоумышленником.

Концепцию BitB могут активно применять те, кто распространяет вирусную рекламу, прогнозируют в «Информзащите». Вредоносный код может попасть через такую рекламу в iframe, но так как iframe не защищен, его можно внедрить на родительскую страницу в виде фальшивого окна в браузере.

— Атака «браузер в браузере» — относительно новый способ кражи учетных данных, когда создается полностью поддельное окно браузера, включая значки доверия, — говорит генеральный директор компании «БСС-Безопасность» Виктор Гулевич. — Хотя данный тип атак на текущий момент обладает техническими ограничениями для того, чтобы обрабатывать большое количество «входящих жертв». Именно поэтому распространение BitB посредством рекламы крайне затруднительно и затратно для злоумышленников. Однако в качестве одного из механизмов фишинга или целевой атаки данный инструмент вполне применим.

По словам заместителя генерального директора по развитию «IT-Экспертиза» Виталия Рыбалки, «скорее всего, невнимательный человек вообще эту мимикрию не заметит». «Особенно если хочется «быстро-быстро и готово», — отмечает Виталий Рыбалка. — Поэтому важно использовать и антивирусы, и встроенные в браузер средства проверки, и замечать странное поведение других механизмов (программного обеспечения) браузера».

— Это атака на «человеческий фактор», поэтому неважно, где она возникнет, — подчеркивает эксперт. — Поддельное окно может появиться где угодно, включая мобильные телефоны и планшеты. У современных информационных пиратов хорошая техническая база, поэтому всплывающие окна и содержимое в них будут учитывать контекст пользователя.

В планшете это окно может выглядеть ровно так же, как и остальные. А в браузерах десктопных операционных систем оно будет смотреться иначе. Но есть два нюанса, которые могут помочь внимательным пользователям, уточняет Виталий Рыбалка. Дело в том, что поддельное окно будет стараться отрисовать типичный вид браузера, поэтому если атакующие поступили халатно, то в ОС linux, например, вы вдруг может отобразиться «рамка» браузера, его заголовок и «подвал» от типичного для Windows. Внимательность к таким несостыковкам может спасти деньги и нервы.

— Фишинг — проблема, которая приводит к значительным потерям со стороны граждан и государства, и злоумышленники постоянно совершенствуют методы атак, — предупреждают в Минцифры.

Как сообщили «Известиям» в пресс-службе ведомства, в настоящее время разрабатывается антифишинговая система с широким набором функций: от поиска таких сайтов, включая возможности автоматизированной обработки информации (определения наличия признаков фишинга), до подсистемы личных кабинетов по обмену данными о фишинговых сайтах.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина успокаивает: «шанс того, что данные будут скомпрометированы про помощи этого типа атаки не выше, чем использование любого другого фишингового сайта». Злоумышленники получают возможность реализовать данный тип мошенничества в случае, если пользователь изначально попал на вредоносную веб-страницу. Стоит отметить, что такая атака не направлена на широкое распространение, как обычные фишинговые сайты, считает она.

По ком звонит фишинг

В основном такого рода подменам подвергаются сайты банков и платежных систем, а также государственные сайты (типа «Госуслуги») и всякого рода голосования — для кражи учеток и данных. Можно еще добавить, что сейчас вероятен вал фейковых сайтов типа «Руссграмм», которые маскируются под российские аналоги запрещенных сервисов, добавляют в «Информзащите».

В Минцифре напоминают: одно из главных правил безопасности — не посещать сомнительные сайты, использовать антивирусные решения, а также не включать на постоянной основе (по умолчанию) VPN-сервисы, поскольку при их использовании снова доступны ранее заблокированные вредоносные ресурсы.

Проще всего защищаться в корпоративных условиях, поясняют в «Информзащите»: там можно централизованно настроить браузеры, чтобы не выполнялись скрипты, которые открывают фейковую страницу.

— Для обычных пользователей мы рекомендуем установить плагины браузеров, которые проверяют каждый сайт, на который вошел пользователь, — рекомендуют в «Информзащите». — У virustotal, например, есть такой для Google Chrome, но существуют и другие аналоги.

Виктор Гулевич прогнозирует, что данная атака не будет активно использоваться при расчетах за покупки товаров, ЖКХ и т.д. По его словам, злоумышленники будут прибегать к BitB для получения доступа в крупные IT-компании и IT-сервисы (Gmail, GitHub и т.д.).

— При покупках товаров и оплате счетов на известных и проверенных сайтах «вляпаться» в атаку «браузер-в-браузере» шансы минимальные, — говорит Виталий Рыбалка. — Как правило, у таких сайтов хорошая поддержка и постоянный мониторинг в том числе на предмет взлома. Высока вероятность попасть в такую ловушку в «серой зоне» — на малознакомых сайтах, куда может привести цепочка переадресаций. Самый большой риск эта схема представляет для невнимательных пользователей, которые стараются всё сделать быстро — именно они целевая группа такого рода атак.

Техника антифишинга

В качестве самозащиты в «IT-Экспертизе» советуют следующее. Первое — внимательно следить за окружением, где всплыло такое окно, какой источник в ссылках (ссылки часто будут подделывать под «настоящие»). Второе — всяческие менеджеры паролей (включая встроенные в браузер) «внезапно» не будут заполнять знакомые поля (например, платежные). Это должно насторожить. Третье — должен быть запущен антивирус, базы которого находятся в актуальном состоянии. Победить такую атаку можно только комплексно.

— Нужно понимать, метод BiB делает фишинг максимально эффективным — очень сложно сразу и быстро распознать его, — говорит Виталий Рыбалка. — Но есть узкое место — жертвам по-прежнему нужно будет перейти на вредоносный (или взломанный) сайт, который реализует атаку. Поэтому крайне внимательно нужно следить, где именно вы находитесь. Что пишет ваш антивирус (встроенный в браузер, к примеру, может предупреждать о возможном фишинге) и как ведут себя знакомые средства автозаполнения. Учитывайте то, что расчет здесь на то, что пользователь видит «знакомое» окно, вроде все замочки (индикаторы безопасности) на местах, значит, можно вводить ценную информацию. Вторая особенность этой атаки — поддельное диалоговое окно авторизации (OAuth) нельзя переместить за пределы окна браузера. Сворачивание браузера также скроет с ним это окно.

Надо сказать, что данный тип атак на текущий момент конечно обладает техническими ограничениями для того, чтобы обрабатывать большое количество «входящих жертв». Именно поэтому распространение BitB посредством рекламы крайне затруднительно и затратно для злоумышленников, убежден гендиректор «БСС-Безопасность» Виктор Гулевич. Однако в качестве одного из механизмов фишинга или целевой атаки данный инструмент очень применим, уверен он. Поэтому успокаиваться не следует — под угрозой каждый пользователь.

— Реализация данной фишинговый атаки действительно новая и актуальная, — акцентирует Виктор Гулевич. — К примеру, наши заказчики еще не сталкивались с инцидентами информационной безопасности по данному типу атак, что говорит о высоком уровне зрелости процессов ИБ в компаниях.

Чтобы обезопасить себя от фишинговой ловушки BitB, по словам Гулевича, следует:

  • Избегать сомнительных писем с просьбой перейти по ссылке.
  • Проверять адрес сайта, на котором вы хотите ввести свои учетные данные.
  • Не отключать встроенные и/или дополнительные средства защиты в браузерах и на ваших устройствах.


Ирина Зиновкина советует также использовать нестандартное оформление в браузере либо в целом нестандартное ПО — в таком случае поддельную страницу будет сразу видно.

В то же время эксперты по ИБ считают, что атака BitB вряд ли способна обмануть другое программное обеспечение. К примеру, менеджеры паролей, скорее всего, не будут автоматически вводить учетные данные в поддельное окно, потому что они не определят его как настоящее окно браузера. Также защитой от атаки BitB может стать надежный антивирус и многофакторная аутентификация. Кроме того, можно следить за системными и сетевыми журналами и проверять подлинность всплывающего окна путем изменения его размеров или его прокрутки.

Тематики: Web, Безопасность

Ключевые слова: информационная безопасность