Napadi usmjereni na korisnika postali su lukavi i sveobuhvatniji, a malo koji izazivaju toliko zabune kao oni koji zvuče gotovo isto: MitM, MitB, BitB i manje poznati, ali vrlo opasni Browser-in-the-Middle. Razumijevanje onoga što svakog od njih čini drugačijim Ključno je izbjegavati ubode i primijeniti efikasnu odbranu.
U sljedećim redovima, uz primjere iz stvarnog života, detaljno ćemo objasniti kako ove prevare funkcioniraju, po čemu se razlikuju i koje taktike zapravo djeluju da ih zaustave. Vidjet ćete sve, od vizualnih obmana poput lažnih iskačućih prozora do tehnika trovanja mreže, krađe tokena sesije i lažnih predstavljanja toliko uvjerljivih da, ako ste u žurbi, Mogu vas koštati vaših akreditacija ili novca.
Šta je Browser-in-the-Middle i po čemu se razlikuje od MitM, MitB i BitB?
Browser-in-the-Middle (BitM ili BiTM) opisuje scenario u kojem žrtva vjeruje da koristi vlastiti preglednik, ali zapravo komunicira s udaljenim preglednikom kojim upravlja napadač. To je kao da sjediš pred timom kriminalaca.- Sve što napišete i vidite može se kopirati, mijenjati ili preusmjeravati, a da to ne primijetite.
U klasičnom napadu tipa "čovjek u sredini" (MitM), protivnik se pozicionira na komunikacijskom putu između vašeg uređaja i legitimne usluge. Ne mora biti doslovno usred mrežnih skokova; može se jednostavno prikrasti usput kako bi špijunirao, manipulirao ili preusmjeravao pakete. Ako nema end-to-end enkripcije (HTTPS/TLS), otkrivanje upada je izuzetno teško.
Čovjek u pregledniku (MitB) je poznato lice u bankarskim prevarama: trojanac zarazi vaš računar i ugradi se u vaš preglednik. Odatle presreće ono što pregledavate i šaljete, čak i u HTTPS sesijama, jer djeluje prije nego što je preglednik šifriran, a nakon što je dešifriran. Može ubrizgavati obrasce, mijenjati transfere i evidentirati keylogging bez izazivanja sumnje.
S druge strane, Browser-in-the-Browser (BitB) je vizualni trik: unutar stranice se generira prozor koji savršeno oponaša dijalog preglednika (na primjer, OAuth prijavu). Adresna traka i dugmad su ukras, nije pravi prozor: sve je nacrtano ili sastavljeno pomoću HTML-a, CSS-a, slika i iframeova kako bi vas uvjerili da unosite svoje vjerodajnice na pouzdanoj web stranici.
Klasični MitM: Kako vas presreću na internetu
Za potpuni MitM, napadač mora ometati protok podataka i, ako je moguće, probiti ili zaobići enkripciju. Postoji više ulaznih vrata koji iskorištavaju slabosti mreže ili konfiguracije:
Uobičajena ulazna vrata
– Zlonamjerni Wi-Fi ili zli blizanac: Kreiranje ili manipulisanje pristupnom tačkom tako da sav vaš saobraćaj prolazi kroz napadača. Na javnim mrežama ili sa procurelim lozinkama, ovo je mačji kašalj. Povezivanje s mrežama koje ne kontrolirate aktivira rizik.
– ARP spoofing/ARP trovanje keša: Korištenjem lažnih ARP odgovora, IP adresa gateway-a se povezuje sa MAC adresom napadača, tako da vaši paketi izlaze kroz njihov računar. Alati poput Ettercap-a ili Cain & Abel-a automatiziraju proces i omogućavaju njuškanje i manipulaciju. U dijeljenim lokalnim mrežama je posebno efikasan.
– DHCP spoofing: Postavljanje lažnog DHCP servera na mreži koji klijentu servira zatrovane parametre (DNS, gateway, rute). Na ovaj način, sav odlazni promet se preusmjerava na željenu destinaciju napadača. U hotelima, coworking prostorima i javnim Wi-Fi mrežama To je klasični vektor.
– DNS spoofing/trovanje keša: oštećenje DNS odgovora (na starim ili pogrešno konfiguriranim DNS serverima) kako bi se legitimne domene razvrstale u IP adrese koje kontrolira napadač. Bez DNSSEC-a i sa slabim keš memorijama, tiho preusmjeravanje je izvodljivo.
– Otmica BGP-a: Na nivou interneta, otmica BGP ruta oglašava lažne putanje kako bi privukla saobraćaj ka napadačkim sistemima. Nije trivijalno, ali se dešavalo; Kada se to dogodi, utiče na čitave regije.
Zaobilaženje ili izbjegavanje HTTPS-a
Dok TLS štiti povjerljivost i integritet, MitM može prisiliti snižavanje verzije (uklanjanje SSL-a), ubaciti sadržaj u nešifrirane dijelove ili vas prevariti da prihvatite lažni certifikat. Ako korisnik vjeruje nevažećem certifikatu, napadač uspostavlja dvije odvojene TLS sesije i prevodi promet između njih, čitajući i mijenjajući šta god želi.
Čovjek u pregledniku (MitB): Prevara iz vašeg vlastitog preglednika
U MitB-u, računar se prvo zarazi, obično trojancem koji se povezuje s preglednikom ili konfiguriše proxy. Od tog trenutka nadalje, napadač vidi i mijenja ono što vi vidite i šaljete.Dodajte polja, promijenite iznose i primaoce, sakrijte transakcije i snimite kolačiće sesije.
Uobičajene mogućnosti uključuju ubrizgavanje JavaScripta, keylogging, periodične snimke ekrana, pa čak i pokušaje probijanja HTTPS-a u određenim segmentima. Okviri poput MITMf-a ili integracije s BeEF-om proširuju mogućnosti manipulacije. Wireshark pomaže u praćenju prometa kada se istražuje, ali žrtva rijetko vidi nešto neobično.
Pravi primjeri MitB trojanaca
– Clampi: Jedan od prvih bankarskih trojanaca baziranih na Windowsu, posvećen prikupljanju akreditiva i finansijskih podataka. Bio je poznat po svojoj upornosti i zbog fokusa na online bankarstvo.
– SpyEye: Pored evidentiranja pritisaka tipki, ubacivao je nova polja ili mijenjao obrasce, prikazivao lažna stanja i prikrivao transakcije. Prodavalo se na podzemnim forumima i ciljao je Chrome, IE, Firefox i Operu.
– Carberp: poznat po lažnom predstavljanju Facebook stranica s lažnim obavijestima o blokiranju, tražeći lične podatke i plaćanje za 'provjeru' identiteta. Moguće preuzimanje drugih zlonamjernih programa i povezati se s kontrolnim centrima za narudžbe uživo.
– Zeus/ZeuS/Zbot: Vjerovatno najpoznatiji, širio se putem socijalnog inženjeringa i preuzimanja podataka putem drive-by-a. Ciljao je banke i velike organizacije, hvatajući obrasce i kradući akreditive u velikim razmjerima. Zarazio je sve, od javnih organizacija do velikih tehnoloških kompanija..
Preglednik u pregledniku (BitB): Umjetnost vizualne obmane
Takozvani BitB od mr.d0x-a popularizirao je ideju: sa slikama koje imitiraju adresnu traku i kontrole prozora, plus iframe-om sa stvarnim sadržajem, 'prozor' za prijavu se prikazuje unutar same web stranice. Osjećaj legitimnosti je veoma visok, posebno ako očekujete da ćete vidjeti OAuth skočni prozor.
Kako ga otkrivate? Pokušajte ga prevući izvan preglednika: ako je ograničen unutar kartice, lažan je; također nećete moći uređivati obojenu 'adresnu traku'. Na sistemima s drugačijim izgledom (na primjer, lažni macOS prozor unutar Linuxa), Vizualni detalji otkrivaju montažu.
Ovaj trik je bio prisutan u kampanjama protiv Steam/CS:GO igrača: turnirske stranice ili mjenjačnice su prikazivale lažne Steam prijave, pa čak i lažirale Steam Guard prozore kako bi tražile 2FA kodove. Viđeni su i lažni chatboxovi sa istim obrascem: kada pokušate da ih premjestite, ispostavi se da su ugrađeni HTML.
Druga varijacija je lažna 'početna traka': oni traže da se pomaknete prema dolje kroz lažni skočni prozor kako biste sakrili URL, a zatim zamijenite gornje područje uvjerljivim lažnim zaglavljem. Cilj je uvijek isti: ukrasti akreditive s dobro njegovanom iluzijom.
Preglednik u sredini (BitM/BiTM): Transparentni udaljeni preglednik
Kod BitM-a, trik je detaljniji: phishing kampanja vas vodi na web stranicu napadača, koja vas povezuje s transparentnim udaljenim preglednikom. Mislite da koristite svoj uobičajeni preglednik?, ali sve se to dešava kroz infrastrukturu kriminalca.
Tipičan tok ima tri faze: prvo, mamac (e-pošta, poruka ili link koji autentifikuje web aplikaciju napadača); drugo, transparentna veza preglednika s JavaScriptom koji prati interakciju i može primijeniti keyloggere; treće, normalno korištenje vaših online usluga. dok napadač hvata tokene sesije i podatke bez izazivanja sumnje.
Krađa tokena i zaobilaženje MFA-a
Tokeni sesije (kolačići sesije, OAuth tokeni itd.) su plijen. Ako budu ukradeni nakon završetka višefaktorske autentifikacije, MFA više nije važan za tu aktivnu sesiju. Sa važećim tokenima, pristup je trenutan i diskretan.Potpisi odgovora ukazuju na to da se eksfiltracija može dogoditi u roku od nekoliko sekundi, neposredno prije nego što transportna enkripcija paketizira podatke.
Ovakav pristup izuzetno otežava razlikovanje lažne stranice od prave jer se legitimni sadržaj može prikazivati unutar preglednika kojim upravlja napadač. Brzina napada i mala potreba za konfiguracijom što ga čini vrlo privlačnim za napredne protivnike i Crvene timove u testiranju penetracije.
Dodatni slučajevi i vektori koji idu u prilog posrednicima
Mobilni i IoT uređaji često koriste nesigurne protokole ili loše konfiguracije; ako aplikacija komunicira preko HTTP-a ili Telneta, MitM će čitati i mijenjati promet po volji, tako da je važno znati Jasni znakovi špijunskog softvera i kako se zaštititi. Provjera enkripcije u mobilnim aplikacijama nije trivijalna. i mnogi ne uspijevaju u osnovnim kontrolama.
U korporativnim mrežama, trovanje ARP-om i lažni DHCP serveri su i dalje česti kada prekidači ne implementiraju ARP inspekciju ili ne obezbjeđuju pravilnu segmentaciju. Jednom kada uđete u svoj domen emitovanja, napadač može ciljati više mašina automatiziranim napadima.
Zašto ih je tako teško otkriti?
U MitB-u, URL je ispravan, kao i certifikat; korisnikov preglednik je već manipuliran. Nećete vidjeti upozorenja o "zlonamjernoj web stranici" Nema očiglednih promjena, osim suptilnih detalja: nova ili nedostajuća polja, neočekivane odjave, upozorenja o prijavi s nepoznatih uređaja.
Za server, prijave stižu s važećim akreditivima i normalnim tokovima. Sesija je autentična i MFA je uspješno završena; nema očiglednih znakova upotrebe grube sile niti anomalnog porijekla ako napadač proxyira promet.
SSL/TLS štiti transport, ali ako dođe do neovlaštene izmjene u samom pregledniku ili prije šifriranja, tunel obavlja svoj posao prenoseći već izmijenjene podatke. Aplikacijski sloj je igralište od MitB-a i BitM-a.
Mjere koje prave razliku u Browser-in-the-Middle-u
Higijena korisnika i dobre prakse
– Budite oprezni sa skočnim prozorima za prijavu na web stranicama. Pokušajte ih pomicati, zumirati i promatrati njihovo ponašanje. Ako se ne odvoji od glavnog prozora, loš znak.
– Pažljivo pogledajte vizualni aspekt: fontove, ikone, sjene, sistemske dugmad. Detalji podešavanja su uočljivi ako se ne žuri. Udahni, pogledaj i odluči.
– Koristite pouzdane mreže. Na javnim mrežama izbjegavajte osjetljive transakcije i preuzimanja. Otvoreni Wi-Fi je plodno tlo za DHCP/ARP/DNS lažiranje.
– Redovno ažurirajte računar: sistem, preglednik, dodatke i aplikacije. Krpljenje smanjuje površinu napada o MitB trojancima i TLS propustima.
– Aktivan i pravilno konfigurisan antivirus/EDR. Mnoga rješenja otkrivaju trovanje ARP keša ili trojanske binarne datoteke. Periodično skenirajte i pratite mrežna upozorenja.
– Koristite pouzdan VPN kada ne kontrolišete mrežu. On šifrira promet do krajnje VPN tačke i smanjuje rizik lokalnog prisluškivanja. Nije nepogrešivo protiv MitB-a, ali smanjuje MitM.
– Preferirajte HTTPS u cijelom procesu i provjerite upite za certifikat. Nikada ne prihvatajte sumnjive certifikate snaći se.
– Omogućite MFA, ali podržite preglede aktivnosti i ručne odjave nakon kritičnih operacija. MFA vas ne spašava ako vam token bude ukraden., ali to komplikuje oportunističke napade.
– Koristite autentifikaciju izvan opsega kad god je to moguće: SMS/poziv ili aplikaciju koja ponavlja detalje transakcije radi njene potvrde. Provjerite iznos i primaoca prije odobrenja. Oprez: neki Trojanci također presreću SMS poruke.
– Obuka za borbu protiv prevara: sumnjive e-poruke, prilozi i linkovi s pregledom. Zadržite pokazivač miša iznad linkova i provjerite stvarnu izvornu domenu.
Tehničke kontrole za kompanije
– Segmentacija mreže i VLAN-ovi za smanjenje obima ARP/DHCP lažiranja. Manje hostova u istoj kolizijskoj domeni, manja potencijalna šteta.
– Zaštitni zidovi sa strogim pravilima istok-zapad i listama kontrole pristupa. Blokirajte nepotrebne interakcije između segmenata.
– Omogućava ARP inspekciju/validaciju na prekidačima i ruterima ako su dostupni; ograničava DHCP odgovore na ovlaštene servere. Mnoge platforme to već podržavaju.
– Ojačajte DNS: Koristite moderne resolvere, validirajte DNSSEC i pratite trovanje keš memorije. Izbjegavajte ranjive starije verzije na internim DNS serverima.
– Ojačane krajnje tačke: Blokiranje nepotpisanih ekstenzija, liste dozvoljenih proxy servera, politike upravljanog preglednika i EDR sa pravilima ubrizgavanja u toku. Minimizira rizik od perzistencije.
– Pojačanje tokena: kratkotrajni, rotirajući tokeni vezani za kontekst (IP, uređaj, geolokacija). Smanjuje korisni prozor ukradenog tokena.
– Izolacija preglednika za rizične stranice (kontejnere ili udaljene usluge). Izolirana pločica ograničava udar od izvršavanja zlonamjernih skripti.
– Redovne vježbe Crvenog tima usmjerene na prijetnje preglednicima i sesijama. Testiranje i mjerenje otkrivaju stvarne nedostatke koje statičke revizije ne vide.
– Rad na daljinu uz robusnu korporativnu VPN mrežu i provjere stanja mreže. Komercijalna rješenja za daljinski pristup pomažu u osiguravanju veze. Dopuna politikama nultog povjerenja.
Alati i uslužni programi koji pomažu
– Za e-poštu i priloge: Napredni filteri tipa Mimecast koji otkrivaju kampanje koje distribuiraju MitB trojance. Prva prepreka je poštanski sandučić.
– Krajnje tačke: Paketi koji vas upozoravaju na nova proširenja preglednika/BHO-e (npr. BullGuard) i blokiraju tihe instalacije. Neka se ništa ne instalira bez vašeg odobrenja..
– Zaštita sesije i zaštita od prevare: IBM Trusteer Rapport, Entrust TransactionGuard/IdentityGuard ili ekvivalentna rješenja koja osiguravaju transakcije i vanbrodsku verifikaciju. Dodaju signale koje je nemoguće lako lažirati..
– Zaštita interfejsa/zaštita od neovlaštenih promjena: Platforme za sigurnost korisničkog interfejsa (kao što su CodeSealers) koje pokušavaju spriječiti ubacivanja i injekcije. Dodatni sloj protiv trikova u pregledniku.
Kako funkcionišu u praksi: dva tipična puta
Čisti MitM prolaz: Napadač kontrolira 'besplatnu' Wi-Fi pristupnu tačku, vi snimate portal i prihvatate ga. Sav vaš promet prolazi kroz njega. Ako posjetite stranicu bez HTTPS-a ili prihvatite lažni certifikat, Oni ga mogu čitati, mijenjati i prosljeđivati.Paralelno s tim, može ubrizgati resurse u stranice i odvesti vas na phishing stranice.
Bankarski MitB put: Zarazite se trojancem kada otvorite e-poštu ili preuzmete "koristan" softver. Prijavite se u svoju banku, izvršite transfer, a zlonamjerni softver mijenja ime primaoca prije slanja zahtjeva. Prikazuje vam savršenu potvrdu i privremeno skriva naplatu u vašoj historiji. Ne otkrivate preusmjeravanje sve do nekoliko dana kasnije..
Znakovi koji bi vas trebali upozoriti na Browser-in-the-Middle
– Prozori koji se ne ponašaju kao pravi prozori (ne mogu se ukloniti s kartice, adresna traka je 'nacrtana'). BitB uz pjesmu.
– Elementi koji se pojavljuju ili nestaju u uobičajenim obrascima, posebno prilikom plaćanja i prijava. Neočekivano polje je crvena zastavica.
– Obavještenja o prijavi s nepoznatih lokacija ili uređaja ili spontane odjave nakon ulaska u 2FA. Pratite svoju e-poštu i obavještenja.
– Antivirus upozorava na ARP trovanje ili promjene u proxyju/hostovima. Ne ignorišite ove događaje, obično ukazuju na tekući napad na mrežu.
Šta ne treba raditi (i šta treba raditi umjesto toga)
– Nemojte kliknuti na 'Nastavi svejedno' kada se od vas zatraži certifikat, osim ako nemate vrlo jasan tehnički razlog. To su glavna vrata za MitMUmjesto toga, provjerite domenu i ponovo učitajte na drugoj mreži.
– Nemojte instalirati ekstenzije ili ažuriranja sa skočnih prozora na web stranicama koje ne poznajete. Uvijek preuzimajte sa službene web stranice i provjerava potpise i dozvole.
– Ne koristite otvorene mreže za kupovinu, bankarstvo ili promjenu lozinke. Ako nema druge opcije, koristite VPN. i dvaput provjerite sve što prođete.
– Ne vjerujte neodoljivim udicama (poklonima, nemogućim povoljnim ponudama). Socijalni inženjering je polazna tačka za gotovo sveProvjerite pošiljatelje, zaglavlja e-pošte i stvarnu domenu iza linkova.
Napomene za službenike obezbjeđenja
Pored navedenog, implementira detaljne zapise sesija i transakcija, detekciju anomalija uređaja/otiska prsta i opoziv tokena u slučaju kompromitacije. Povezivanje sesije s kontekstom (IP, ASN, hardverski ključ) komplikuje korištenje ukradenih tokena.
Pregledajte politike kolačića (SameSite, HttpOnly, Secure), ojačajte zaglavlja (CSP, HSTS) i primijenite robusnu verifikaciju na OAuth/OpenID tokove, uključujući PKCE i agresivne isteke. Rotirajući tokeni sa sigurnom razmjenom smanjiti vrijednost vrućih ulova.
I ne zaboravite ljudsku stranu: redovne kampanje podizanja svijesti, simulacije phishinga sa BitB/BitM scenarijima i jasne priručnike za odgovor na opoziv sesija, blokiranje odredišta i pomoć korisnicima. Prvi odgovor je jednako važan kao i prevencija.
Porodica napada "čovjek u sredini" dijeli jednostavnu ideju: stati vam na put ili u vaš vlastiti prozor kako bi ukrali ono što je najvrjednije: vaše sesije i vjerodajnice. Trikovi variraju, od lažnih prozora do zaraženih ruta ili udaljenih preglednika, ali se onemogućavaju ako usporite, ojačate tokene i sesije, zatvorite mrežna vrata i naviknete se provjeravati ono što se čini očiglednim; stanite, razmislite, a zatim se povežite. Uštedi vam više strahova nego što mislite. Podijelite ove informacije i više ljudi će saznati za Browser-in-the-Middle..