Есть ли способ удалить / избавиться от инфекции Man-In-the-Browser?
Я путешествовал по браузеру, читая статьи о MItB, и до сих пор не могу найти технический способ избавиться от MItB-инфекции. следовательно, мне было интересно: существует ли такой способ технически удалить атаку MItB? Если вам нужно было щелкнуть зараженную ссылку на компьютере или мобильном телефоне через браузер, при котором MItB запускается и заражает ваш веб-браузер, можете ли вы устранить уязвимость, переустановив браузер, будь то на вашем телефоне или компьютере? Что еще более важно, MItB имеет какое-либо значение в компьютере и телефонах?
1 ответ
Человек в браузере (mitb) - это неприятная атака, потому что "традиционные" механизмы безопасности против нее не очень эффективны. Это классический пример трояна, потому что "враг" находится за вашей городской стеной (уровни безопасности). Шифрование не поможет, поскольку данные, к которым обращается злоумышленник, уже расшифрованы. Таким образом, злоумышленник имеет возможность вводить сценарии, изменять транзакции, собирать личные данные и т. Д. Без ведома пользователя. С POV пользователя все нормально. Они не заметят ничего плохого, пока ущерб не будет нанесен.
Ваша идея переустановить браузер вряд ли сработает. Троянец может пережить переустановку, поскольку он не является частью самого браузера. Это либо расширение (или "объект-помощник браузера"), либо вредоносный JavaScript, либо внешняя программа, которая мешает вызовам API браузера.
Кроме того, активное обнаружение и предотвращение антивирусами и другими антивирусными программами не очень успешны. AV обнаружит некоторые трояны, но частота обнаружения низкая. Трояны по своей конструкции спроектированы так, чтобы избежать обнаружения.
Один из подходов, о которых вы часто будете слышать, это двухфакторная аутентификация или внеполосная проверка транзакций. Наиболее распространенным является отправка кода на телефон или электронную почту пользователя. В некоторых системах этот код будет также включать информацию о конкретной транзакции, которая проверяется. Идея заключается в том, что троянец не подвергнет воздействию телефон или другой канал связи, поэтому он должен быть защищен от помех. Но, честно говоря, я не думаю, что это на 100% безопасно. У вас по-прежнему будут пользователи, которые игнорируют любые предупреждающие знаки в сообщении и просто вслепую продолжают вводить код подтверждения в своем браузере, потому что они 1) не знают 2) в спешке или оба. И даже тогда вы предполагаете, что механизм внеполосной связи не был скомпрометирован. Это большое предположение. Если вы ошибаетесь, то это будет совершенно неэффективно.
Другой подход - обойти проблему и посмотреть на поведение пользователя со стороны сервера. Если вы можете установить модель их "нормального" поведения, то есть разумный шанс выявить подозрительную активность. Что такое подозрительная активность? Это может быть что-то вроде внезапного увеличения крупных транзакций, изменения IP-адреса в середине сеанса и "неестественного" перехода между страницами. При обнаружении такого типа поведения вы можете уведомить пользователя или предпринять шаги, например заблокировать его учетную запись или просто отклонить транзакцию. Конечно, это будет ограничено конкретной услугой (например, банком пользователя), и всегда есть вероятность ложных срабатываний. Это не решает корень проблемы, потому что платформа пользователя все еще будет заражена.
Защита сейчас не обнаружение, а предотвращение. Остановите трояна от проникновения. Самый очевидный. Не загружайте и не открывайте и не выполняйте ничего, если вы не доверяете источнику на 100%. Это означает, что источник должен иметь шифрование E2E и достоверный сертификат SSL (TLS), предпочтительно расширенную проверку (EV).
Также убедитесь, что в вашей ОС установлены последние обновления для системы безопасности. Наконец, не используйте браузеры с известными уязвимостями. И даже тогда избегайте подозрительных плагинов / расширений для браузера.