- Вірус для кожної четвертої компанії
- Людина в браузері
- Чому браузерні атаки ефективні?
- вражаючі масштаби
Гугл хром. Точніше, вразливий для шахраїв
фото: Дарина Шурупова / Banki.ru Влітку 2017 року дослідники Check Point Software Technologies виявили зловредів Fireball, який вражає браузери, може управляти трафіком, а також завантажувати і запускати будь-який інший зловредів на комп'ютер жертви без її відома. По всьому світу зараженню піддалися 250 млн комп'ютерів.
Вірус для кожної четвертої компанії
Різноманітність інструментів, з якими хакери реалізують свої злочинні цілі, зростає разом з появою нових технологій, пристроїв і підходів до обчислень. Наприклад, коли смартфони стали продовженням наших рук, кількість мобільних загроз почала зростати в геометричній прогресії. Аналітики по всьому світу постійно шукають і знаходять уразливості в мобільних платформах і гаджетах, в пристроях IoT, веб-платформах, соціальних мережах і багато іншого. І новий бич безпечники - це шифрувальники, подібні WannaCry.
Одна з найбільших в історії людства хакерських атак, коли 12 травня жертвами нападу вірусу WannaCry, за даними Європолу, стали понад 200 тис. Комп'ютерів в 150 країнах світу (це більше 75% всіх держав планети), нагадала нам про те, що ми дійсно живемо в новій ері - цифровий.
Однак не варто забувати і про давно відомих векторах атак, які тим не менше теж удосконалюються і можуть піднести неприємний сюрприз. Наприклад, атаки через веб-браузери. Влітку 2017 року дослідники Check Point Software Technologies виявили зловредів Fireball, який вражає браузери, може управляти трафіком, а також завантажувати і запускати будь-який інший зловредів на комп'ютер жертви без її відома. По всьому світу зараженню піддалися 250 млн комп'ютерів. Розповсюджувачем зловреда виявилася китайська рекламна компанія Rafotech, яка використовує зловредів для генерації рекламного трафіку.
Шкідливий скачується на комп'ютер жертви в зв'язці з легальним безкоштовним ПО так, що користувач цього навіть не помічає. Видалити Fireball з ПК без допомоги фахівців не можна, а крім генерації трафіку зловредів може бути використаний для здійснення практично будь-якої атаки, будь то збір особистих даних користувача, отримання доступу до особистих кабінетах, мобільному банку, вимагання. Якщо це корпоративний комп'ютер, то через нього зловмисники можуть отримати доступ до всієї мережі організації. Тим більше що в Росії в кожної четвертої компанії вірусом Fireball містить хоча б один комп'ютер.
Людина в браузері
Атаки через браузери особливо ефективні для крадіжки даних і отримання доступу, наприклад, до онлайн-банку. Згідно з дослідженнями Check Point, у другій половині 2016 роки так звані банківські трояни лише трохи поступалися за активністю програм-здирникам. У лідерах виявлялися Zeus, Tinba і Ramnit. Є й нові трояни - наприклад, Panda, що вперше з'явився в 2016 році. Його використовували у шкідливої кампанії проти бразильських банків незадовго до Олімпійських ігор - 2016.
Банківські трояни часто використовують техніку Man-in-browser ( «Людина в браузері») - веб-ін'єкції або механізми перенаправлення. Вони здатні підміняти картинку в браузері так, що користувач не помічає, що знаходиться вже не на сторінці свого банку. Користувач вводить логін і пароль, і вони потрапляють прямо до зловмисника. Інша техніка передбачає використання підроблених сторінок з попередженнями нібито від банку жертви і проханням ввести облікові дані. Ще один варіант - коли користувача нібито викидає з особистого кабінету і він повинен знову ввести свої дані. Хоча насправді це підроблена сторінка, і ви просто віддаєте інформацію хакеру.
Мета таких атак - отримати доступ до рахунків і грошей жертви. А їх особливість в тому, що подібні зловредів дуже добре маскуються і ніяк себе не проявляють до тих пір, поки користувач не зайде на сайт банку.
Чому браузерні атаки ефективні?
Популярність браузерних атак серед хакерів пояснюється якраз тим, що для їх роботи користувачі особливо часто скачують і встановлюють різні додатки типу ActiveX, Cookies, Plug-In, Flash Player, Java і т. Д. Багато веб-сайти фактично вимагають від користувача установки додаткового програмного забезпечення для включення деяких функцій (Google Earth, Webex, Zoom та ін.). Але якщо у випадку з Webex будь-яке розширення буде безпечно, то плагіни з невідомих сайтів цілком можуть містити шкідливі елементи. Таким чином, за звичкою скачавши розширення з неперевіреного джерела, користувач може стати жертвою атаки.
Зараження відбувається, як правило, за допомогою скачування через браузери файлів або програм, що містять шкідливий код, а також переходів по посиланнях в пошті. При цьому користувачі самі активують роботу шкідливої програми, натискаючи «Встановити програмне забезпечення». Однак іноді, як у випадку з Fireball, можна скачати цілком легальне ПЗ або отримати доступ до сервісу, в зв'язці з яким встановлюється шкідливий бонус.
Згідно зі звітом SANS 2016 Threat Landscape Study, завантаження шкідливих програм через браузер є серйозною проблемою в тому числі для корпоративних мереж - 41% найсерйозніших інцидентів безпеки доводиться на браузерні атаки. Так, відповідно до одного з останніх викриттів WikiLeaks, ЦРУ використовувала програму «Архімед», яка діяла всередині корпоративних мереж. Вона отримувала контроль над комп'ютером і через браузер перенаправляла трафік на сторонній сервіс. При цьому користувач не помічає нічого незвичайного, а виявити підозрілий вихідний трафік можна тільки при аналізі коду веб-сторінки.
Банківські трояни стають все більш різноманітними і витонченими. Як вони працюють і як користувачам захистити себе від онлайн-пограбування?
Використання браузерів часто стає частиною фішингових атак, як це було на початку травня з Google Docs: зловмисники створили підроблений документ в Google, при переході на який жертва потрапляє на реальну сторінку пошти Google в браузері. Якщо користувач заходить в акаунт, доступ до нього отримує і зловредів, який був в підробленому Google Docs. На щастя, це шкідливе додаток можна легко видалити, зайшовши в настройки браузера. На відміну від Fireball, який видалити своїми силами практично неможливо.
вражаючі масштаби
Одним з виділяються ознак останніх гучних атак, включаючи здирницькі, DDoS, браузерні і інші, є їх неймовірний масштаб і стрімке поширення по всьому світу. Так, масштаби зараження Fireball дають китайським маркетологам з Rafotech практично безмежну владу. За нашими оцінками, в разі якщо Rafotech вирішить реалізувати цей потенціал, кожна п'ята корпорація в світі буде знаходиться в серйозній небезпеці. У випадку з кінцевими користувачами жертв буде ще більше. Збиток може бути завдано критично важливим організаціям - від великих постачальників послуг до операторів інфраструктури та медичних установ. Можливі втрати досягають немислимих масштабів, і на їх компенсацію можуть піти роки.
Микита ДУРОВ, технічний директор Check Point Software Technologies в Росії і СНД, для Banki.ru
Чому браузерні атаки ефективні?Як вони працюють і як користувачам захистити себе від онлайн-пограбування?