Как вы можете предотвратить атаки Man in Browser?

Question

Читал об атаках на MitB, и некоторые вещи беспокоили меня об этом.

С WIKI :

Использование инструментов строгой аутентификации просто создает повышенный уровень неуместной уверенности со стороны клиента и банка в безопасности транзакции.

Одним из наиболее эффективных методов борьбы с атакой MitB является процесс проверки транзакции вне диапазона (OOB). Это преодолевает троян MitB, проверяя детали транзакции, полученные хостом (банком), пользователю (клиенту) по каналу, отличному от браузера

Так что, если я правильно скажу, что единственный реальный безопасный метод - это метод подтверждения без браузера. (например, телефонный звонок или другой внешний инструмент)

Будет ли электронное письмо считаться OOB-транзакцией? Или MitB может отправить фальшивое электронное письмо?

Есть ли способ предотвратить MitB только с помощью кода?

РЕДАКТИРОВАТЬ: Я спрашиваю об этом, потому что наша локальная банковская система использует физическую систему keygen , для которой вам нужно нажать, чтобы получить номер, а затем ввести этот номер в поле в форме транзакции.

Я понятия не имею, считается ли это безопасным, поскольку похоже, что атака MitB просто заставляет его выглядеть так, как будто все, что вы сделали, безопасно и правильно, но на самом деле произошло то, что данные формы были изменены при отправке и теперь передаются на какой-то другой банковский счет. Таким образом, у него будет доступ к этому номеру ключа.

Answer 1

Будет ли электронное письмо считаться транзакцией OOB?

Учитывая распространенность таких почтовых веб-сервисов, как GMail, я бы сказал, что нет. Даже если цель такой атаки не использует веб-почту, злоумышленник, контролирующий браузер цели, может выстрелить от поддельного электронного письма, как вы предлагаете.

Answer 2

Это моя точка зрения на человека в браузере. Человек в браузере выглядит так:

1. Жертва встает, покидает свой компьютер и пододвигает спину к компьютеру, чтобы он не мог коснуться клавиатуры, переместить мышь или даже увидеть экран.
2. Хакер сидит за компьютером жертвы.
3. Если жертва хочет работать со своим компьютером, он должен попросить хакера сделать это для него. Если он хочет увидеть какой-либо результат, он должен попросить хакера прочитать данные на мониторе.
4. Хакер делает все возможное, чтобы убедить пользователя, что он делает то, что он просит, и повторяет то, что он делает. Но постарайся извлечь выгоду из этой ситуации без пощады!

В простом случае:

1. Жертва может попросить хакера заполнить данные транзакции как передать 500USD маме .
2. Вместо этого хакер может набрать передать 10000USD Джеку . (Подделать данные формы перед отправкой)
3. Система может отображать, я передал 10000USD Джеку, но хакер сказал, что 500USD перевел Джеку. (Подделать результат HTML)
4. Жертва просит проверить баланс своего счета, чтобы убедиться, что перевод выполнен.
5. Хакер может сказать, что баланс аккаунта правильный (это можно сделать, например, удалив последнюю строку таблицы баланса и изменив сумму баланса в HTML)

Что касается электронной почты:

1. Вы ждете электронное письмо и спрашиваете хакера, есть ли у меня подтверждающее письмо от банка.
2. Поскольку вы не можете видеть монитор, он говорит, что да, у вас есть. (Технически он может легко создать поддельное письмо). (даже если вы сидите на другом чистом компьютере, вам может быть снова отправлено поддельное электронное письмо)

Генерация изображения не может предотвратить атаку.

1. Вы спрашиваете хакера, мой банк должен показать мне изображение, на котором должна отображаться информация о переводе, видите ли вы, что он говорит.
2. хакер ответ : Да, я вижу это, он говорит: «Вы переводите 500USD маме» (изображение может быть легко создано с помощью JavaScript, или хакер может указать URL-адрес изображения на сервер, который генерирует динамическое изображение с соответствующими данными, чтобы обмануть пользователя)

Очень опасная ситуация может возникнуть, когда человек в браузере меняет поток сайта. В этом случае даже система OTP или кеген не может предотвратить атаку. Например:

1. Вы спрашиваете хакера, что хотите увидеть свой баланс
2. Хакер заходит на страницу переноса аккаунта и заполняет форму переноса аккаунта, чтобы перевести 10000USD на джек (но вы вообще не знаете, что он делает, вы просто ждете), он заходит на страницу, которая просит его ключ. Это ключ, который вы должны дать ему.
3. Теперь хакер говорит : Ну, банк спросит меня, хочешь ли ты увидеть свой баланс, ты должен ввести ключ.
4. Вы думаете, что ключ к балансу кажется странным, но в любом случае давайте этот ключ, я верю этому парню !!
5. Хакер переключается обратно в форму передачи и использует ключ для выполнения передачи.

Итак, как вы можете видеть, в браузере нет серверного решения для Man, вы можете:

1. Используйте внешнее решение для информирования пользователя о критической информации. (Это как если бы вы взяли мобильный телефон в свои руки, и хотя ваша спина все еще на вашем компьютере, но конфиденциальная информация отправляется на ваше доверенное устройство, и вы можете видеть важную информацию)
2. Используйте защищенный браузер, чтобы никто не мог изменить его поведение. (Откиньтесь на свой компьютер :))

Хорошие примеры того, что можно сделать с помощью MITB, можно найти по адресу: http://www.tidos -group.com / blog / 2010/12/09 / «Человек в браузере и сила» Javascript-на-на-пример-из-Carberp /

Answer 3

Вообще говоря, если ваша машина заражена, вы уязвимы, несмотря ни на что.

Физический токен или «внеполосный» токен предназначен для решения проблемы «идентичности» и дает банку большую уверенность в том, что входящий в систему человек - это тот, кем он себя называет. Механизмы такого рода обычно включают использование метода «одноразового кода», так что даже если кто-то записывает разговор с банком, токен не может быть повторно использован. Однако если вредоносная программа перехватывает данные в режиме реального времени, они могут злонамеренно контролировать учетную запись после того, как вы успешно вошли в систему, но часто банкам требуется новый «код» каждый раз, когда вы пытаетесь сделать что-то вроде перевода денег со счета. Таким образом, вредоносная программа должна будет ждать, пока вы сделаете это законно, а затем изменить запрос. Однако большинство вредоносных программ не в режиме реального времени и отправлять данные третьим лицам для сбора и последующего использования. Использование этих методов «одноразового токена» успешно защитит от этой последующей обработки данных для входа в систему, поскольку записанные данные не могут быть использованы позднее для входа в систему.

Чтобы ответить на ваш вопрос, нет способа защититься от этого только в коде. Все, что вы делаете, может быть специально обработано вредоносным ПО.

Answer 4

Полагаю, вы могли бы использовать критические фрагменты информации о транзакции как часть шага проверки вторичной или третичной транзакции. То есть, если я подумал, что сообщил банковскому счету # 12345, и он услышал # 54321, поскольку данные были фальсифицированы этим типом атаки, вторичная проверка не прошла бы проверку шифрования. Для банка также было бы возможно отразить что-то, что было более трудно изменить, например, изображение, содержащее соответствующую информацию.

Суть таких обсуждений в том, что они всегда могут быть более сложными. Электронная почта недействительна вне диапазона, потому что, я должен представить, что у меня есть руткит ... если я остановлю это, я должен представить, что моя ОС на самом деле является гостевой ОС, работающей на злой виртуальной машине ... если я остановлю это, я думаю, я должен представить, что это матрица, и я не могу ничего доверять, чтобы защитить мою визовую карту с 200 долларов доступного кредита. :)

Answer 5

В статье , которая является предметом (и на которую ссылается) этой статьи Википедии , шаг 1 в «Методе атаки» определяется как:

1. Троян заражает программное обеспечение компьютера, как ОС, так и приложение.

Поэтому ответ на ваш вопрос «нет»: если O / S заражен, вредоносная программа (по крайней мере теоретически) может перехватить и вашу электронную почту.

Кроме того, некоторые клиентские платформы (например, мобильные телефоны, не говоря уже о выделенных терминалах в точках продаж) менее подвержены заражению, чем другие.