El hombre en el navegador

Amenaza a la seguridad del navegador de Internet

Man-in-the-browser ( MITB , MitB , MIB , MiB ), una forma de amenaza de Internet relacionada con man-in-the-middle (MITM), es un troyano proxy ^[1] que infecta un navegador web aprovechando las vulnerabilidades en la seguridad del navegador para modificar páginas web , modificar el contenido de las transacciones o insertar transacciones adicionales, todo de forma encubierta invisible tanto para el usuario como para la aplicación web anfitriona . Un ataque MitB tendrá éxito independientemente de si se han implementado mecanismos de seguridad como SSL / PKI y/o soluciones de autenticación de dos o tres factores . Un ataque MitB puede contrarrestarse utilizando la verificación de transacciones fuera de banda , aunque la verificación por SMS puede ser derrotada por una infección de malware man-in-the-mobile ( MitMo ) en el teléfono móvil . Los troyanos pueden detectarse y eliminarse mediante software antivirus, ^[2] pero un informe de 2011 concluyó que se necesitaban medidas adicionales además del software antivirus. ^{[3] [ necesita actualización ]}

Un ataque relacionado, más simple, es el del chico en el navegador ( BitB , BITB ).

La mayoría de los profesionales de servicios financieros encuestados en 2014 consideraron que MitB era la mayor amenaza para la banca en línea . ^[4]

Descripción

La amenaza MitB fue demostrada por Augusto Paes de Barros en su presentación de 2005 sobre las tendencias de las puertas traseras "El futuro de las puertas traseras: el peor de todos los mundos". ^[5] El nombre "man-in-the-browser" fue acuñado por Philipp Gühring el 27 de enero de 2007. ^[6]

Un troyano MitB funciona utilizando funciones comunes proporcionadas para mejorar las capacidades del navegador, como los objetos auxiliares del navegador (una función limitada a Internet Explorer ), las extensiones del navegador y los scripts de usuario (por ejemplo, en JavaScript ). ^[6] El software antivirus puede detectar algunos de estos métodos. ^[2]

En un ejemplo resumido de intercambio entre el usuario y el host, como una transferencia de fondos de un banco por Internet , el cliente siempre verá, a través de pantallas de confirmación, la información exacta del pago que ingresó en el navegador. Sin embargo, el banco recibirá una transacción con instrucciones sustancialmente alteradas, es decir, un número de cuenta de destino diferente y posiblemente un monto diferente. El uso de herramientas de autenticación sólida simplemente crea un mayor nivel de confianza equivocada por parte del cliente y del banco en cuanto a que la transacción es segura. La autenticación, por definición, se relaciona con la validación de credenciales de identidad. Esto no debe confundirse con la verificación de transacciones.

Ejemplos

Ejemplos de amenazas MitB en diferentes sistemas operativos y navegadores web :

Protección

Antivirus

Los troyanos conocidos pueden ser detectados, bloqueados y eliminados por un software antivirus. ^[2] En un estudio de 2009, la efectividad del antivirus contra Zeus fue del 23%, ^[25] y nuevamente se informaron tasas de éxito bajas en una prueba separada en 2011. ^[3] El informe de 2011 concluyó que se necesitaban medidas adicionales además del antivirus. ^[3]

Software reforzado

• Software de seguridad del navegador: los ataques MitB pueden bloquearse mediante software de seguridad en el navegador como Cymatic.io, Trusteer Rapport para Microsoft Windows y Mac OS X , que bloquea las API de las extensiones del navegador y controla la comunicación. ^{[11] [12] [15]}
• Software alternativo: Reducir o eliminar el riesgo de infección de malware mediante el uso de aplicaciones portátiles o alternativas a Microsoft Windows como Mac OS X , Linux o sistemas operativos móviles Android, iOS , ChromeOS , Windows Mobile , Symbian , etc., y/o navegadores Chrome u Opera . ^{[27] Se puede lograr una mayor protección ejecutando este sistema operativo alternativo, como Linux, desde un} Live CD o Live USB no instalado . ^[28]
• Navegador web seguro: varios proveedores ahora pueden proporcionar una solución de seguridad de dos factores donde un navegador web seguro es parte de la solución. ^[29] En este caso, se evitan los ataques MitB, ya que el usuario ejecuta un navegador reforzado desde su dispositivo de seguridad de dos factores en lugar de ejecutar el navegador "infectado" desde su propia máquina.

Verificación de transacciones fuera de banda

Un método teóricamente eficaz para combatir cualquier ataque MitB es a través de un proceso de verificación de transacciones fuera de banda (OOB). Esto supera al troyano MitB verificando los detalles de la transacción, tal como los recibe el host (banco), al usuario (cliente) a través de un canal distinto del navegador; por ejemplo, una llamada telefónica automatizada, un SMS o una aplicación móvil dedicada con criptograma gráfico. ^[30] La verificación de transacciones OOB es ideal para el uso en el mercado masivo, ya que aprovecha dispositivos que ya son de dominio público (por ejemplo, teléfono fijo , teléfono móvil , etc.) y no requiere dispositivos de hardware adicionales, pero permite la autenticación de tres factores (usando biometría de voz ), la firma de transacciones (a nivel de no repudio) y la verificación de transacciones. La desventaja es que la verificación de transacciones OOB aumenta el nivel de frustración del usuario final con más pasos y más lentos.

Hombre en el móvil

El troyano espía para teléfonos móviles MitMo ^[31] puede anular la verificación de transacciones por SMS OOB. ^[32]

• ZitMo (Zeus-In-The-Mobile) no es un troyano MitB en sí (aunque realiza una función de proxy similar en los SMS entrantes), sino que es un malware móvil sugerido para su instalación en un teléfono móvil por una computadora infectada con Zeus. Al interceptar todos los SMS entrantes, anula la autenticación de dos factores OOB bancaria basada en SMS en Windows Mobile , Android , Symbian y BlackBerry . ^[32] ZitMo puede ser detectado por el antivirus que se ejecuta en el dispositivo móvil.
• SpitMo (SpyEye-In-The-Mobile, SPITMO) es similar a ZitMo. ^[33]

Detección de fraudes en la web

La detección de fraude web se puede implementar en el banco para verificar automáticamente patrones de comportamiento anómalos en las transacciones. ^[34] Negociación TLS fallida: FAILED_PRECONDITION: error starttls (71): 126011017202752:error:1000012e:Rutinas SSL:OPENSSL_internal:KEY_USAGE_BIT_INCORRECT:third_party/openssl/boringssl/src/ssl/ssl_cert.cc:431:

Ataques relacionados

Troyanos proxy

Los keyloggers son la forma más primitiva de troyanos proxy , seguidos por los grabadores de sesiones del navegador que capturan más datos y, por último, los MitB son el tipo más sofisticado. ^[1]

El hombre en el medio

SSL/PKI, etc. pueden ofrecer protección en un ataque del tipo "man-in-the-middle" , pero no ofrecen protección en un ataque del tipo "man-in-the-browser".

Chico en el navegador

Un ataque relacionado que es más simple y rápido de implementar para los autores de malware se denomina boy-in-the-browser ( BitB o BITB ). El malware se utiliza para cambiar el enrutamiento de la red informática del cliente para realizar un clásico ataque de intermediario. Una vez que se ha cambiado el enrutamiento, el malware puede eliminarse por completo, lo que dificulta su detección. ^[35]

Secuestro de clics

El clickjacking engaña al usuario del navegador web para que haga clic en algo diferente de lo que el usuario percibe, mediante un código malicioso en la página web.

Véase también

• Toma de forma
• Riesgo de TI
• Amenaza (informática)
• Cronología de los virus y gusanos informáticos
• Token de seguridad
• Número de autenticación de transacción
• Secuestro de DNS

Referencias

1. Bar-Yosef, Noa (30 de diciembre de 2010). "La evolución de los troyanos proxy" . Consultado el 3 de febrero de 2012 .
2. F-Secure (11 de febrero de 2007). «Descripción de la amenaza: Trojan-Spy:W32/Nuklus.A» . Consultado el 3 de febrero de 2012 .
3. Quarri Technologies, Inc (2011). "Navegadores web: su punto débil para lograr el cumplimiento de PCI" (PDF) . Consultado el 5 de febrero de 2012 .
4. Fernández, Diogo AB; Soares, Liliana FB; Gomes, João V.; Freire, Mario M.; Inácio, Pedro RM (1 de abril de 2014). "Problemas de seguridad en entornos de nube: una encuesta" . Revista Internacional de Seguridad de la Información . 13 (2): 113–170. doi :10.1007/s10207-013-0208-7. ISSN  1615-5270. S2CID  3330144.
5. Paes de Barros, Augusto (15 de septiembre de 2005). "O futuro dos backdoors - o pior dos mundos" (PDF) (en portugues). Sao Paulo, Brasil: Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança - CNASI. Archivado desde el original (PDF) el 6 de julio de 2011 . Consultado el 12 de junio de 2009 .
6. Gühring, Philipp (27 de enero de 2007). "Conceptos contra ataques Man-in-the-Browser" (PDF) . Consultado el 30 de julio de 2008 .
7. Dunn, John E (3 de julio de 2010). "Los autores de troyanos atacan a los bancos del Reino Unido con botnets" . Consultado el 8 de febrero de 2012 .
8. Dunn, John E (12 de octubre de 2010). "Zeus no es el único troyano bancario, advierten los usuarios" . Consultado el 3 de febrero de 2012 .
9. Curtis, Sophie (18 de enero de 2012). "Los usuarios de Facebook son el objetivo de un ataque de tipo man-in-the-browser de Carberp" . Consultado el 3 de febrero de 2012 .
10. Marusceac Claudiu Florin (28 de noviembre de 2008). "Herramienta de eliminación de Trojan.PWS.ChromeInject.B" . Consultado el 5 de febrero de 2012 .
11. Nattakant Utakrit, Facultad de Ciencias Informáticas y de Seguridad, Universidad Edith Cowan (25 de febrero de 2011). "Revisión de las extensiones de navegador, técnicas de phishing de tipo "man-in-the-browser" dirigidas a clientes bancarios" . Consultado el 3 de febrero de 2012 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
12. Symantec Marc Fossi (8 de diciembre de 2010). "Los troyanos bancarios del estilo ZeuS son vistos como la mayor amenaza para la banca en línea: encuesta". Archivado desde el original el 8 de agosto de 2011. Consultado el 3 de febrero de 2012 .
13. Ted Samson (22 de febrero de 2011). "El astuto malware OddJob deja las cuentas bancarias en línea expuestas al saqueo" . Consultado el 6 de febrero de 2012 .
14. Symantec Marc Fossi (23 de enero de 2008). "Banking with Confidence" (Operar con confianza) . Consultado el 30 de julio de 2008 .
15. Trusteer. "Informe del Trusteer" . Consultado el 3 de febrero de 2012 .
16. Mickey Boodaei, director ejecutivo de Trusteer (31 de marzo de 2011). "Los ataques Man-in-the-Browser tienen como objetivo a las empresas". Archivado desde el original el 8 de diciembre de 2011. Consultado el 3 de febrero de 2012 .
17. www.net-security.org (11 de mayo de 2011). «Malware financiero explosivo ataca a Windows» . Consultado el 6 de febrero de 2012 .
18. Jozsef Gegeny; Jose Miguel Esparza (25 de febrero de 2011). "Tatanga: un nuevo troyano bancario con funciones MitB" . Consultado el 3 de febrero de 2012 .
19. "El pequeño troyano bancario 'Tinba' es un gran problema". msnbc.com . 31 de mayo de 2012 . Consultado el 28 de febrero de 2016 .
20. Borean, Wayne (24 de mayo de 2011). "El virus de Mac OS X que no existía" . Consultado el 8 de febrero de 2012 .
21. Fisher, Dennis (2011-05-02). "Crimeware Kit Emerges for Mac OS X". Archivado desde el original el 5 de septiembre de 2011. Consultado el 3 de febrero de 2012 .
22. F-secure. «Descripción de la amenazaTrojan-Spy:W32/Zbot» . Consultado el 5 de febrero de 2012 .
23. Hyun Choi; Sean Kiernan (24 de julio de 2008). «Detalles técnicos de Trojan.Wsnpoem». Symantec. Archivado desde el original el 23 de febrero de 2010. Consultado el 5 de febrero de 2012 .
24. Microsoft (30 de abril de 2010). «Entrada de la enciclopedia: Win32/Zbot - Más información sobre malware - Centro de protección contra malware de Microsoft». Symantec . Consultado el 5 de febrero de 2012 .
25. Trusteer (14 de septiembre de 2009). «Medición de la eficacia en la práctica de Antivirus contra Zeus» (PDF) . Archivado desde el original (PDF) el 6 de noviembre de 2011. Consultado el 5 de febrero de 2012 .
26. Richard S. Westmoreland (20 de octubre de 2010). «Antisource - ZeuS». Archivado desde el original el 20 de enero de 2012. Consultado el 5 de febrero de 2012 .
27. Horowitz, Michael (6 de febrero de 2012). "Banca en línea: lo que la BBC pasó por alto y una sugerencia de seguridad" . Consultado el 8 de febrero de 2012 .
28. Purdy, Kevin (14 de octubre de 2009). "Use a Linux Live CD/USB for Online Banking" (Utilice un Live CD/USB de Linux para realizar operaciones bancarias en línea) . Consultado el 4 de febrero de 2012 .
29. Konoth, Radhesh Krishnan; van der Veen, Victor; Bos, Herbert (2017). "Cómo la informática en cualquier lugar acabó con la autenticación de dos factores basada en el teléfono". En Grossklags, Jens; Preneel, Bart (eds.). Criptografía financiera y seguridad de datos . Apuntes de clase en informática. Vol. 9603. Berlín, Heidelberg: Springer. págs. 405–421. doi :10.1007/978-3-662-54970-4_24. ISBN 978-3-662-54970-4.
30. Finextra Research (13 de noviembre de 2008). "Commerzbank implementará la tecnología de autenticación basada en teléfonos móviles Cronto" . Consultado el 8 de febrero de 2012 .
31. Chickowski, Ericka (5 de octubre de 2010). "Los ataques de 'Man In The Mobile' resaltan las debilidades de la autenticación fuera de banda". Archivado desde el original el 1 de marzo de 2012. Consultado el 9 de febrero de 2012 .
32. Schwartz, Mathew J. (13 de julio de 2011). "El troyano bancario Zeus ataca a los teléfonos Android". Archivado desde el original el 6 de julio de 2012. Consultado el 4 de febrero de 2012 .
33. Balan, Mahesh (14 de octubre de 2009). "Atención, usuarios de banca por Internet y banca móvil: ¡ZITMO y SPITMO ya están aquí!" . Consultado el 5 de febrero de 2012 .
34. Sartain, Julie (7 de febrero de 2012). "Cómo proteger las transacciones en línea con autenticación multifactor" . Consultado el 8 de febrero de 2012 .
35. Imperva (14 de febrero de 2010). "Threat Advisory Boy en el navegador" . Consultado el 12 de marzo de 2015 .

Enlaces externos

• Ataque de virus en transacciones de HSBC con dispositivo OTP
• Ataque de virus a transacciones bancarias de ICICI
• Ataque de virus a transacciones de Citibank
• Los piratas informáticos burlan los sistemas de seguridad de identidad de los bancos en línea BBC Click
• Antisource - ZeuS Un resumen de ZeuS como troyano y botnet, además de vector de ataques
• Vídeo de Man-In-The-Browser en YouTube Bill Conner, presidente y director ejecutivo de Entrust
• Zeus: el rey de los kits de herramientas de software contra el crimen Vídeo en YouTube El kit de herramientas Zeus, Symantec Security Response
• ¿Qué tan segura es la banca en línea? Audio BBC Click
• Video del ciberataque de un niño en el navegador en YouTube Imperva