Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Технологія проти MitB: стороннім вхід заборонено

І знову ми отримали патент на метод протидії хитрощів фінансових кібершахраїв. На цей раз мова йде про технології, що дозволяє виявляти впровадження HTML-коду в сторінку, відкриту браузером клієнта (man-in-the-browser attack). Принцип роботи технології заснований на використанні спеціальних «перевірочних» веб-сторінок, в які вбудований HTML-код, що провокує шкідливі програми на прояв своїх функцій.

Суть в наступному: творці фінансового шкідливого ПО часто «заточують» свій код під конкретні банки. Коли клієнт намагається відкрити сайт банку, зловредів виявляє звернення і вносить зміни в що відображається в браузері сторінку на етапі її завантаження. В результаті він модифікує зовнішній вигляд різних елементів веб-сторінок (в першу чергу - поля введення), викрадає вводяться аутентифікаційні дані або змінює номери рахунків, на які перенаправляються перекладні користувачем кошти.

В результаті він модифікує зовнішній вигляд різних елементів веб-сторінок (в першу чергу - поля введення), викрадає вводяться аутентифікаційні дані або змінює номери рахунків, на які перенаправляються перекладні користувачем кошти

Зрозуміло, спроба впровадження HTML-коду в сторінку з високою ймовірністю свідчить про те, що пристрій користувача заражено. Виявивши таку спробу, банк може вчасно заблокувати транзакцію і захистити кошти свого клієнта від крадіжки. А з огляду на той факт, що технологія man-in-the-browser реалізована практично в кожному сімействі банківських троянців, її наявність можна було б використовувати як вірний індикатор зараження в рішенні, що захищає онлайн-банкінг. Однак не все так просто. Що, якщо пристрій заражено, але зловредів заточений під інший банк? У цьому випадку він не спробує внести зміни в сторінку і не проявить себе.

Здавалося б, ну і що? Це ж проблеми іншого банку? Але думати так було б помилкою. Більшість фінансових троянців використовують відразу декілька інструментів для викрадення банківських облікових даних. Може бути, він і не змінює сторінку, що, але при цьому записує всі натискання клавіш користувача. Так що клієнт все одно наражається на ризик.

Тому ми вирішили створити свого роду пастку - банківську сторінку, яка має характерні ознаки сайтів безлічі різних фінансових організацій (фрагменти HTML-коду, характерні для веб-сторінок банків і платіжних систем). Якщо такий сайт буде відкритий з зараженого пристрою, то використовує метод man-in-the-browser зловредів прийме його за сайт знайомого банку і спробує внести зміни. Які негайно будуть виявлені нашою системою.

Ця технологія вже активно використовується в нашому рішенні Kaspersky Clientless Engine, яке служить для захисту клієнтських рахунків від атак через заражені пристрої користувачів. Детальніше про Kaspersky Clientless Engine і про платформу Kaspersky Fraud Prevention, частиною якої він є, можна дізнатися ось тут .

Що, якщо пристрій заражено, але зловредів заточений під інший банк?
Здавалося б, ну і що?
Це ж проблеми іншого банку?

Новости