Hombre en el navegador
De Wikipedia, la enciclopedia libre
  (Redirigido desde Man en el navegador )
Saltar a navegación Saltar a búsqueda

El hombre-en-el-navegador ( MITB , MITB , MIB , MIB ), una forma de Internet amenaza relacionada con man-in-the-middle (MITM), es un proxy caballo de Troya [1] que infecta a un navegador web mediante la adopción de ventaja de las vulnerabilidades en la seguridad del navegador para modificar páginas web , modificar el contenido de la transacción o insertar transacciones adicionales, todo de una manera encubierta invisible tanto para el usuario como para la aplicación web anfitriona. Un ataque MitB tendrá éxito independientemente de si los mecanismos de seguridad como SSL / PKI y / oExisten soluciones de autenticación de dos o tres factores . Un ataque MitB puede contrarrestarse mediante el uso de la verificación de transacciones fuera de banda , aunque la verificación por SMS puede ser derrotada por una infección de malware man-in-the-mobile ( MitMo ) en el teléfono móvil . Los troyanos pueden ser detectados y eliminados por software antivirus; [2] este enfoque obtuvo una tasa de éxito del 23% contra Zeus en 2009 [3] y tasas aún bajas en un informe de 2011. [4] El informe de 2011 concluyó que se necesitaban medidas adicionales además del software antivirus. [4]

Un ataque relacionado y más simple es el chico en el navegador ( BitB , BITB ).

La mayoría de los profesionales de servicios financieros en una encuesta considera que MitB es la mayor amenaza para la banca en línea . [5]

Descripción

La amenaza MitB fue demostrada por Augusto Paes de Barros en su presentación de 2005 sobre las tendencias de las puertas traseras "El futuro de las puertas traseras - el peor de todos los mundos". [6] El nombre "man-in-the-browser" fue acuñado por Philipp Gühring el 27 de enero de 2007. [7]

Un troyano MitB funciona mediante el uso de instalaciones comunes proporcionadas para mejorar las capacidades del navegador, como los objetos auxiliares del navegador (una función limitada a Internet Explorer ), las extensiones del navegador y los scripts de usuario (por ejemplo, en JavaScript ). [7] El software antivirus puede detectar algunos de estos métodos. [2]

En pocas palabras, el intercambio de ejemplo entre el usuario y el host, como una transferencia de fondos de banca por Internet , siempre se mostrará al cliente, a través de pantallas de confirmación, la información de pago exacta tal como se ingresó en el navegador. Sin embargo, el banco recibirá una transacción con instrucciones sustancialmente modificadas, es decir, un número de cuenta de destino diferente y posiblemente una cantidad. El uso de herramientas de autenticación sólidas simplemente crea un mayor nivel de confianza fuera de lugar por parte del cliente y del banco de que la transacción es segura. La autenticación, por definición, se ocupa de la validación de las credenciales de identidad. Esto no debe confundirse con la verificación de transacciones.

Ejemplos de

Ejemplos de amenazas MitB en diferentes sistemas operativos y navegadores web :

Ejemplos de Man-in-the-Browser
NombreDetallesSistema operativoNavegador
Agent.DBJP [8]VentanasIE, Firefox
Bugat [9]VentanasIE, Firefox
Carberpse dirige a los usuarios de Facebook que canjean cupones de dinero electrónico [10]VentanasIE, Firefox
ChromeInject * [11]Greasemonkey imitador [12]VentanasFirefox
Clampi [13]VentanasES DECIR
Gozi [1]VentanasIE, Firefox
Nuklus [2] [12]VentanasES DECIR
OddJob [14]mantiene abierta la sesión bancariaVentanasIE, Firefox
Silentbanker [15]VentanasIE, Firefox
Silon [16]VentanasES DECIR
SpyEye [17]sucesor de Zeus, generalizado, baja detecciónVentanasIE, Firefox
Mancha solar [18]generalizada, baja detecciónVentanasIE, Firefox
Tatanga [19]VentanasIE, Firefox, Chrome , Opera , Safari , Maxthon , Netscape , Konqueror
Pequeño troyano bancario [20]El troyano bancario más pequeño detectado en estado salvaje con 20 KBVentanasIE, Firefox
Torpig ** [16]VentanasIE, Firefox
URLZone **** [1]VentanasIE, Firefox, Opera
Weyland-Yutani BOT [21]kit de crimeware similar a Zeus, no muy extendido [21] [22]Mac OS XFirefox
Yaludle [16]VentanasES DECIR
Zeus *** [13]generalizada, baja detecciónVentanasIE, Firefox
LlaveWindows : IEWindows : IE y Firefox o FirefoxWindows : otroMac OS X : cualquiera
* ChromeInject también conocido como ChromeInject.A, ChromeInject.B, Banker.IVX, Inject.NBT, Bancos-BEX, Drop.Small.abw [11]
** Torpig alias Sinowal, Anserin [1]
*** Zeus alias Zeus, Zbot, [23] Wsnpoem, [24] [25] NTOS, [3] PRG, [3] Kneber, [26] Gorhax [26]
**** URLZone también conocido como Bebloh! IK, Runner.82176, Monder, ANBR, Sipay.IU, Runner.fq, PWS.y! Cy, Zbot.gen20, Runner.J, BredoPk-B, Runner.EQ

Proteccion

Antivirus

El software antivirus puede detectar, bloquear y eliminar troyanos conocidos. [2] En un estudio de 2009, la efectividad del antivirus contra Zeus fue del 23%, [3] y nuevamente se informaron tasas de éxito bajas en una prueba separada en 2011. [4] El informe de 2011 concluyó que las medidas adicionales además del antivirus eran necesario. [4]

Software reforzado

  • Software de seguridad del navegador: los ataques MitB pueden bloquearse mediante software de seguridad en el navegador como Cymatic.io , Trusteer Rapport para Microsoft Windows y Mac OS X , que bloquea las API de las extensiones del navegador y controla la comunicación. [12] [13] [16]
  • Software alternativo: Reducir o eliminar el riesgo de infección de malware mediante el uso de aplicaciones portátiles o el uso de alternativas a Microsoft Windows como Mac OS X , Linux o sistemas operativos móviles Android, iOS , Chrome OS , Windows Mobile , Symbian , etc., y / o navegadores. Chrome u Opera . [27] Se puede lograr una mayor protección ejecutando este sistema operativo alternativo, como Linux, desde un Live CD no instalado o Live USB . [28]
  • Navegador web seguro: varios proveedores ahora pueden proporcionar una solución de seguridad de dos factores donde un navegador web seguro es parte de la solución [ cita requerida ] . En este caso, se evitan los ataques MitB, ya que el usuario ejecuta un navegador reforzado desde su dispositivo de seguridad de dos factores en lugar de ejecutar el navegador "infectado" desde su propia máquina.

Verificación de transacciones fuera de banda

Un método teóricamente efectivo para combatir cualquier ataque MitB es a través de un proceso de verificación de transacciones fuera de banda (OOB). Esto supera al troyano MitB al verificar los detalles de la transacción, tal como los recibe el host (banco), al usuario (cliente) a través de un canal que no sea el navegador; por ejemplo, una llamada telefónica automatizada, SMS o una aplicación móvil dedicada con criptograma gráfico. [29] La verificación de transacciones OOB es ideal para el uso del mercado masivo, ya que aprovecha los dispositivos que ya están en el dominio público (por ejemplo , teléfonos fijos , teléfonos móviles , etc.) y no requiere dispositivos de hardware adicionales, pero permite la autenticación de tres factores (utilizando biometría de voz), firma de transacciones (hasta el nivel de no repudio) y verificación de transacciones. La desventaja es que la verificación de la transacción OOB aumenta el nivel de frustración del usuario final con más pasos y más lentos.

Hombre en el móvil

El hombre-en-el-móvil ( MitMo ) [30] del software espía troyano móvil para teléfonos móviles puede anular la verificación de transacciones por SMS OOB. [31]

  • ZitMo (Zeus-In-The-Mobile) no es un troyano MitB en sí mismo (aunque realiza una función de proxy similar en los SMS entrantes), pero es un malware móvil sugerido para su instalación en un teléfono móvil por una computadora infectada con Zeus. Al interceptar todos los SMS entrantes, derrota la autenticación de dos factores OOB bancaria basada en SMS en Windows Mobile , Android , Symbian y BlackBerry . [31] El antivirus que se ejecuta en el dispositivo móvil puede detectar ZitMo.
  • SpitMo (SpyEye-In-The-Mobile, SPITMO) es similar a ZitMo. [32]

Detección de fraude web

La detección de fraude web se puede implementar en el banco para verificar automáticamente patrones de comportamiento anómalos en las transacciones. [33]

Ataques relacionados

Troyanos proxy

Los keyloggers son la forma más primitiva de troyanos proxy , seguidos de los registradores de sesiones de navegador que capturan más datos y, por último, los MitB son el tipo más sofisticado. [1]

Hombre en el medio

Artículo principal: Man-in-the-middle

SSL / PKI, etc. pueden ofrecer protección en un ataque man-in-the-middle , pero no ofrece protección en un ataque man-in-the-browser.

Chico en el navegador

Un ataque relacionado que es más simple y rápido de configurar para los autores de malware se denomina chico en el navegador ( BitB o BITB ). El malware se utiliza para cambiar el enrutamiento de la red informática del cliente para realizar un ataque clásico de intermediario. Una vez que se ha cambiado el enrutamiento, el malware puede eliminarse por completo, lo que dificulta la detección. [34]

Clickjacking

Artículo principal: Clickjacking

El secuestro de clics engaña al usuario del navegador web para que haga clic en algo diferente de lo que percibe el usuario, mediante un código malicioso en la página web.

DDoS a través de Wi-Fi y exploits relacionados

Algunos teléfonos y tabletas en uso actual tienen una vulnerabilidad conocida a DDoS a través de Wi-Fi, y esto se ha documentado en ciertos teléfonos Android. La vulnerabilidad es que si un atacante detecta que alguien está usando compartir, es posible apuntar al teléfono o tableta directamente usando una colisión de paquetes similar a la que se encuentra en las redes LAN que requieren adivinar la contraseña de uso compartido del dispositivo usando una tabla de arco iris y clonando el SSID. , lo que obliga a reiniciar después de que se hayan acumulado suficientes datos en la RAM, lo que provocó un desbordamiento del búfer. Durante esta ventana estrecha, se puede usar software malicioso para instalar un rootkit u otro malware a través del canal OTA de diagnóstico antes de que el antivirus tenga la oportunidad de cargarse de una manera similar a cómo funciona la descarga a través de USB.Parece que no hay defensa en la actualidad más que no compartir o cambiar la contraseña después de un breve intervalo aleatorio, por ejemplo, WPA2-TKIP, que no todos los dispositivos admiten. WPA3-OTP puede ser una solución si se utiliza una memoria suficientemente grande en ambos extremos, por ejemplo, 400 GB.

Ver también

  • Seguridad del navegador
  • Agarre de forma
  • Riesgo de TI
  • Amenaza (computadora)
  • Cronología de virus y gusanos informáticos
  • Banca en línea
  • Token de seguridad
  • Número de autenticación de la transacción
  • Secuestro de DNS

Referencias

  1. ↑ a b c d e Bar-Yosef, Noa (30 de diciembre de 2010). "La evolución de los troyanos proxy" . Consultado el 3 de febrero de 2012 .
  2. ↑ a b c d F-Secure (11 de febrero de 2007). "Descripción de la amenaza: Trojan-Spy: W32 / Nuklus.A" . Consultado el 3 de febrero de 2012 .
  3. ↑ a b c d Trusteer (14 de septiembre de 2009). "Midiendo la efectividad en estado salvaje de Antivirus contra Zeus" (PDF) . Archivado desde el original (PDF) el 6 de noviembre de 2011 . Consultado el 5 de febrero de 2012 .
  4. ↑ a b c d Quarri Technologies, Inc (2011). "Navegadores web: su vínculo débil para lograr el cumplimiento de PCI" (PDF) . Consultado el 5 de febrero de 2012 .
  5. ^ Fernandes, Diogo AB; Soares, Liliana FB; Gomes, João V .; Freire, Mário M .; Inácio, Pedro RM (1 de abril de 2014). "Problemas de seguridad en entornos de nube: una encuesta" . Revista Internacional de Seguridad de la Información . 13 (2): 113-170. doi : 10.1007 / s10207-013-0208-7 . ISSN 1615-5270 . 
  6. ^ Paes de Barros, Augusto (15 de septiembre de 2005). "O futuro dos backdoors - o pior dos mundos" (PDF) (en portugués). Sao Paulo, Brasil: Congreso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança - CNASI. Archivado desde el original (PDF) el 6 de julio de 2011 . Consultado el 12 de junio de 2009 .
  7. ↑ a b Gühring, Philipp (27 de enero de 2007). "Conceptos contra ataques de hombre en el navegador" (PDF) . Consultado el 30 de julio de 2008 .
  8. Dunn, John E (3 de julio de 2010). "Los escritores de troyanos apuntan a los bancos del Reino Unido con botnets" . Consultado el 8 de febrero de 2012 .
  9. Dunn, John E (12 de octubre de 2010). "Zeus no es la única amenaza de un troyano bancario, advirtieron los usuarios" . Consultado el 3 de febrero de 2012 .
  10. Curtis, Sophie (18 de enero de 2012). "Usuarios de Facebook apuntados en el ataque de Carberp man-in-the-browser" . Consultado el 3 de febrero de 2012 .
  11. ↑ a b Marusceac Claudiu Florin (28 de noviembre de 2008). "Herramienta de eliminación de Trojan.PWS.ChromeInject.B" . Consultado el 5 de febrero de 2012 .
  12. ^ a b c Nattakant Utakrit, Facultad de Ciencias de la Seguridad e Informática, Universidad Edith Cowan (25 de febrero de 2011). "Revisión de las extensiones del navegador, técnicas de phishing de un hombre en el navegador dirigidas a los clientes bancarios" . Consultado el 3 de febrero de 2012 .CS1 maint: varios nombres: lista de autores ( enlace )
  13. ↑ a b c Symantec Marc Fossi (8 de diciembre de 2010). "Troyanos bancarios al estilo ZeuS considerados como la mayor amenaza para la banca en línea: encuesta" . Archivado desde el original el 8 de agosto de 2011 . Consultado el 3 de febrero de 2012 .
  14. Ted Samson (22 de febrero de 2011). "El malware Crafty OddJob deja las cuentas bancarias en línea abiertas al saqueo" . Consultado el 6 de febrero de 2012 .
  15. Symantec Marc Fossi (23 de enero de 2008). "Banca con confianza" . Consultado el 30 de julio de 2008 .
  16. ^ a b c d Trusteer. "Trusteer Rapport" . Consultado el 3 de febrero de 2012 .
  17. ^ Director ejecutivo de Trusteer Mickey Boodaei (31 de marzo de 2011). "Los ataques Man-in-the-Browser tienen como objetivo la empresa" . Archivado desde el original el 8 de diciembre de 2011 . Consultado el 3 de febrero de 2012 .
  18. www.net-security.org (11 de mayo de 2011). "Malware financiero explosivo apunta a Windows" . Consultado el 6 de febrero de 2012 .
  19. ^ Jozsef Gegeny; José Miguel Esparza (25 de febrero de 2011). "Tatanga: un nuevo troyano bancario con funciones MitB" . Consultado el 3 de febrero de 2012 .
  20. ^ "El pequeño troyano bancario 'Tinba' es un gran problema" . msnbc.com . Consultado el 28 de febrero de 2016 .
  21. ↑ a b Borean, Wayne (24 de mayo de 2011). "El virus de Mac OS X que no existía" . Consultado el 8 de febrero de 2012 .
  22. Fisher, Dennis (2 de mayo de 2011). "Emerge el kit de Crimeware para Mac OS X" . Archivado desde el original el 5 de septiembre de 2011 . Consultado el 3 de febrero de 2012 .
  23. ^ F-seguro. "Descripción de la amenaza Trojan-Spy: W32 / Zbot" . Consultado el 5 de febrero de 2012 .
  24. ^ Hyun Choi; Sean Kiernan (24 de julio de 2008). "Detalles técnicos de Trojan.Wsnpoem" . Symantec . Consultado el 5 de febrero de 2012 .
  25. Microsoft (30 de abril de 2010). "Entrada de la enciclopedia: Win32 / Zbot - Obtenga más información sobre malware - Centro de protección contra malware de Microsoft" . Symantec . Consultado el 5 de febrero de 2012 .
  26. ↑ a b Richard S. Westmoreland (20 de octubre de 2010). "Antisource - ZeuS" . Archivado desde el original el 20 de enero de 2012 . Consultado el 5 de febrero de 2012 .
  27. Horowitz, Michael (6 de febrero de 2012). "Banca en línea: lo que la BBC se perdió y una sugerencia de seguridad" . Consultado el 8 de febrero de 2012 .
  28. Purdy, Kevin (14 de octubre de 2009). "Utilice un Live CD / USB de Linux para la banca en línea" . Consultado el 4 de febrero de 2012 .
  29. Finextra Research (13 de noviembre de 2008). "Commerzbank para implementar la tecnología de autenticación basada en teléfonos móviles de Cronto" . Consultado el 8 de febrero de 2012 .
  30. Chickowski, Ericka (5 de octubre de 2010). " Los ataques de ' Hombre en el móvil' resaltan debilidades en la autenticación fuera de banda" . Consultado el 9 de febrero de 2012 .
  31. ↑ a b Schwartz, Mathew J. (13 de julio de 2011). "Zeus Banking Trojan golpea los teléfonos Android" . Consultado el 4 de febrero de 2012 .[ enlace muerto ]
  32. Balan, Mahesh (14 de octubre de 2009). "¡Atención, usuarios de banca por Internet y banca móvil, ya están aquí ZITMO & SPITMO!" . Consultado el 5 de febrero de 2012 .
  33. Sartain, Julie (7 de febrero de 2012). "Cómo proteger las transacciones en línea con autenticación multifactor" . Consultado el 8 de febrero de 2012 .
  34. Imperva (14 de febrero de 2010). "Chico asesor de amenazas en el navegador" . Consultado el 12 de marzo de 2015 .

enlaces externos

  • Ataque de virus en transacciones HSBC con dispositivo OTP
  • Ataque de virus en transacciones bancarias ICICI
  • Ataque de virus en transacciones de Citibank
  • Los piratas informáticos burlan los sistemas de seguridad de identidad de la banca en línea BBC Click
  • Antisource - ZeuS Un resumen de ZeuS como troyano y botnet, además del vector de ataques
  • Video del hombre en el navegador en YouTube Entrust, presidente y director ejecutivo, Bill Conner
  • Zeus: el rey de los kits de herramientas de software delictivo Vídeo en YouTube El kit de herramientas de Zeus, Symantec Security Response
  • ¿Qué tan segura es la banca en línea? Audio BBC Click
  • Video de ataque cibernético de chico en el navegador en YouTube Imperva
Obtenido de " https://en.wikipedia.org/w/index.php?title=Man-in-the-browser&oldid=1038781457 "
Contribute a better translation