Захват формы - Form grabbing

Захват формы это форма вредоносное ПО который работает путем получения учетных данных авторизации и входа в систему из формы веб-данных перед их передачей через Интернет на защищенный сервер. Это позволяет вредоносное ПО чтобы избежать HTTPS шифрование. Этот метод более эффективен, чем программное обеспечение кейлоггера потому что он получит учетные данные пользователя, даже если они вводятся с помощью виртуальной клавиатуры, автозаполнения или копирования и вставки.[1] Затем он может отсортировать информацию по именам переменных, например электронное письмо, имя учетной записи и пароль. Кроме того, захват формы регистрирует URL и название веб-сайта, с которого были собраны данные.[2]

История

Метод был изобретен в 2003 году разработчиком варианта троянский конь называется Downloader.Barbew, который пытается загрузить Backdoor.Barbew из Интернета и передать его в локальную систему для выполнения. Однако он не получил широкого распространения как широко известный вид вредоносное ПО атака до появления печально известного банковского трояна Зевс в 2007.[3] Зевс использовался для кражи банковской информации человеком в браузере регистрация нажатий клавиш и захват формы. Как и Zeus, троян Barbew изначально рассылался большому количеству людей через электронную почту, маскирующуюся под крупные банковские компании.[4] Захват формы как метод, впервые реализованный в итерациях Zeus, позволил модулю не только обнаруживать захваченные данные формы, но также определять, насколько полезной была полученная информация. В более поздних версиях средство захвата форм также было связано с веб-сайтом, на котором были отправлены фактические данные, что делало конфиденциальную информацию более уязвимой, чем раньше.[5]

Известные случаи

Троян, известный как Tinba (Tiny Banker троян ) была создана с захватом форм и способна красть учетные данные онлайн-банкинга и была впервые обнаружена в 2012 году. Другая программа под названием BOT Вейланд-Ютани было первым программным обеспечением, предназначенным для атаки macOS платформа и может работать на Fire Fox. Шаблоны веб-инъекций в Weyland-Yutani BOT отличались от существующих, таких как Зевс и Шпион.[6]

Еще одна известная версия - это нарушение British Airways в сентябре 2018 года. В случае British Airways серверы организаций, по всей видимости, были скомпрометированы напрямую: злоумышленники изменили один из файлов JavaScript (библиотека Modernizr JavaScript, версия 2.6.2), включив в него скрипт регистрации PII / кредитной карты, который собирает информацию о платеже и отправляет ее на сервер, контролируемый злоумышленником, расположенный в домене «baways [.] com» с сертификатом SSL, выданным центром сертификации «Comodo». British Airways mobile приложение также загружает веб-страницу, созданную с использованием тех же компонентов CSS и JavaScript, что и основной веб-сайт, включая вредоносный скрипт, установленный Magecart. Таким образом, пострадали и платежи, совершаемые с помощью мобильного приложения British Airways.


Контрмеры

Из-за недавнего увеличения числа кейлоггеров и захвата форм, антивирус компании добавляют дополнительную защиту, чтобы противостоять попыткам клавиатурных шпионов и предотвратить сбор паролей. Эти усилия принимали разные формы в зависимости от антивирусных компаний, таких как safepay, менеджер паролей и другие.[1] Для дальнейшего противодействия захвату формы права пользователей могут быть ограничены, что не позволит им установить Объекты помощника браузера (BHOs) и другое программное обеспечение для захвата форм. Администраторы должны создать список вредоносных серверы к их брандмауэры.[2]

Новые меры противодействия, такие как использование Из группы общение, чтобы обойти злоумышленников и Человек в браузере также появляются; примеры включают FormL3SS. [7]; те, кто обходит угрозу, используют другой канал связи для отправки конфиденциальных данных на доверенный сервер. Таким образом, информация о взломанном устройстве не вводится. Альтернативные инициативы, такие как Фиделиус использовать дополнительное оборудование для защиты ввода / вывода на взломанное или считающееся взломанным устройство.

Смотрите также

Рекомендации

  1. ^ а б «Захват онлайн-паролей и антивирус». Запись в веб-журнале. Услуги в области информационных технологий для бизнеса, 24 июля 2013 г.
  2. ^ а б Грэм, Джеймс, Ричард Ховард и Райан Олсон. Основы кибербезопасности. Публикации Ауэрбаха, 2011. Печать.
  3. ^ * Шевченко, Сергей. "Загрузчик.Berbew." Symantec, 13 февраля 2007 г.
  4. ^ * Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программах-вымогателях CryptoLocker». Кровоточащие компьютеры. 20 декабря 2013 г.
  5. ^ *«Захват формы». Запись в веб-журнале. Рочестерский технологический институт, 10 сентября 2011 г.
  6. ^ Круз, Питер. «Запущен Crimekit для MacOSX». В архиве 2014-01-31 на Wayback Machine Запись в веб-журнале. Канадская служба безопасности и разведки, 2 мая 2011 г.
  7. ^ Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и средств захвата форм». Семинар NDSS по измерениям, атакам и защите в Интернете (MADWeb). 2020. Дои:10.14722 / madweb.2020.23016.

Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и средств захвата форм». Семинар NDSS по измерениям, атакам и защите в Интернете (MADWeb). 2020. Дои:10.14722 / madweb.2020.23016.