Добре скрита заплаха

Next story

От дребно, нишово явление, подобно на фишинг, до голям проблем, застрашаващ милиони интернет потребители - така може да бъде описана еволюцията на уеб инжекциите (webinjects) само за последните няколко години. Един пример за действието им: заобикаляне на двуфакторните системи за оторизация на потребителите, използвани от множество организации и институции - сред които банките. Всъщност, уеб инжекциите са най-големия кошмар за специалистите по сигурност, именно на банките.   Причината - киберпрестъпниците активно използват и дори модифицират уеб инжекции, така че заедно с различни троянци, да могат лесно да осъществят кражба на лични данни или пари от жертвите си - потребителите. Как действа този механизъм на атака?

В най-чистия си вид

Уеб инжекциите на практика не са нищо повече от свободен open-source инструмент,създаден, за да автоматизира тестването на уеб приложения и онлайн услуги и се използва от анализаторите и специалистите по информационна сигурност през последните няколко (около 20) години.

Предимства на системата

Времената обаче се менят и този така обичан от „добрите“ хакери инструмент, започва активно да се използва и от киберпрестъпниците. Най-често те използват уеб инжекции в комбинация със създадени от тях банкови троянци, а целта на този “коктейл” е или директна кражба на пари или на ценни лични данни. Повечето киберпрестъпници добавят уеб инжекции към своя зловреден код, просто защото така увеличават шансовете си за кражба на ценна информация.Уеб инжекциите представляват JavaScript и HTML кодове. Те се използват от киберпрестъпниците, за да “инжектират“ специфичен код в браузъра на жертвите – в реално време – и по този начин, те модифицират страниците, които се отварят в браузъра - без знанието и на създателя на зарежданата страница, и на потребителя, зареждащ страницата. Уеб инжекциите обикновено (но не само) ще покажат фалшив поп-ъп прозорец на легитимен сайт, особено в момент, когато жертвата използва нейния/неговия банков акаунт или прави някаква форма на парична транзакция.Киберпрестъпниците полагат особени усилия фалшивите уеб страници да изглеждат достатъчно добре, докато крадат данните на жертвата си. Някои от формите на този вид зловреден код търсят и информация за сигурността, когато потребителя се вписва в своя акаунт, или дори питат за разрешение да трансферират суми. Това, разбира се, цели да заблуди потребителя, че парите са били правилно преведени.

Вълкът козината си мени, но...

Тази техника всъщност е доста стара, но бележи значителен ръст през последните години. Обикновено, банковия троянец сваля някаква форма на уеб инжекция, която съдържа както целта, така и съдържанието, което трябва да бъде инжектирано в уеб страницата на целта.Някои уеб инжекции се опитват да откраднат информация, като добавят нови полета във форма, която вижда потребителя, което до голяма степен напомня на фишинг технологиите. Други форми са по-сложни и дори биха се опитали да направят автоматичен паричен трансфер от акаунта на жертвата към междинен банков акаунт (муле). Независимо от степента си на сложност обаче, уеб инжекциите са инструмент, от който трябва да се пазим. Няколко съвета от нас:

  • внимавай какви форми попълваш - и какви полета има в тях. Потретването на паролата ти при въвеждането ѝ в банков сайт не е опция
  • пример за инжекции са показваните банери в анимирани сайтове като Facebook - ако виждаш такива, то най-вероятно си станал жертва на такава атака. Посъветвай се със специалист, за да решите проблема.
  • Сърфирай само и единствено в познати страници и използвай само и единствено лицензирани антивирусни решения, за да имаш по-стабилна основа, на която да градиш сигурността си.