Исследователи из Imperva обнаружили новую атаку, нацеленную на банки,
ретейлеров и даже Google. Новый вид нападения сходен с уже известным типом - с
использованием троянов, логгеров клавиатуры - с так называемой
man-in-the-browser (MITB) атакой. Атака "boy-in-the-browser" (BITB) – так
назвали упрощенную версию MITB – может быть относительно новой, но она
эффективна, легка и предназначена для пользователей банков, онлайн магазинов и
даже Google.
"Она перенаправляет трафик (жертвы) без уведомления самого пользователя…
Атака очень эффективна, потому что она быстро изменяет себя же, поэтому
антивирус не может ее обнаружить. Это замечательная особенность для быстрой
атаки", - говорит Ноа Бар-Йосеф, старший специалист по безопасности в Imperva,
которая сегодня выпустила предупреждение безопасности, связанное с такой
техникой атаки, которую исследователи обнаружили на практике.
BITB на самом деле – упрощенная версия MITB, с помощью которой хакер заражает
пользователя трояном, например через скачивание файла или через зараженную
ссылку на сайте. Троян перенастраивает хост-файл пользователя и перенаправляет
трафик жертвы к – скажем, банку или онлайн-магазину – на специальный сервер
хакера, представленный пользователю под видом этого сайта. Затем хакер может
перехватить или изменить операции. "Эту атаку сложно обнаружить", - говорит
Бар-Йосеф, "потому что жертва видит тот URL, который и запросила".
Бар-Йосеф говорит, что BITB недорогая и относительно легкая атака для
получения денег. Девять банков Латинской Америки подверглись такой атаке, хакеры
также пытались обмануть Google. В атаке Google хакеры перенастроили адреса
различных региональных серверов Google, к примеру, www.google.co.uk, который был
перенаправлен на URL хакеров. Когда жертва пользуется поисковиком Google, запрос
отправляется на сервер хакера, позволяя последнему получать ссылки или красть
куки, например.
Довольно редкую BITM атаку было довольно легко обнаружить, потому что
страница не соответствовала официальному сайту Google, говорит Бар-Йосеф, но в
большинстве случаев, с подобными атаками очевидных улик нет.
Рекомендации Imperva по поводу этих атак находятся
тут.
