Представьте, что вы входите в свой банк, но на самом деле вы делаете это в управляемый браузером другим человеком за много миль отсюда; это звучит как научная фантастика, но это довольно точно описывает то, что происходит в Атака «браузер-посередине» (BitM)Вместо того чтобы взломать ваш компьютер или Wi-Fi, злоумышленник посредством социальной инженерии перенаправляет вас на клонированный веб-сайт, который действует как прозрачный посредник между вами и настоящим сервисом.
Этот подход напоминает традиционные атаки типа «человек посередине» (MitM), но с некоторыми важными нюансами: здесь обман заключается в самом процессе просмотра и интерфейсе, а не на сетевом уровне. В результате злоумышленник может перехватывать и манипулировать вашими действиями в режиме реального времени, включая учетные данные, файлы cookie и токены сеанса— с чрезвычайно высокой визуальной точностью, что затрудняет обнаружение тимуса.
Что такое атака Browser-in-the-Middle (BitM)?
Атака «Browser-in-the-Middle» (также встречается BiTM или даже itM) использует промежуточную веб-среду, которая практически точно копирует легитимный сайт, но управляется из инфраструктуры злоумышленника. Для жертвы всё выглядит нормально: страница загружается, формы работают, при нажатии появляются экраны многофакторной аутентификации, в то время как под ней злоумышленник… наблюдает, сохраняет и может изменять каждое взаимодействие.
В отличие от традиционных схем MitM, которые манипулируют сетевым трафиком с помощью подмены ARP или поддельных сертификатов, управление BitM осуществляется «из браузера». Во многих кампаниях пользователь попадает на клонированный веб-сайт по вредоносной ссылке в SMS, социальной сети или электронной почте; после этого сеанс устанавливается через удалённый «прозрачный браузер», и злоумышленник воспроизводит взаимодействие с реальным сайтом чтобы все выглядело законно.
BitM против MitM и Man-in-the-Browser (MITB)
Рекомендуется разделить эти концепции, поскольку их легко спутать. При чистой атаке MitM злоумышленник располагается между клиентом и сервером в сети и перенаправляет пакеты, используя такие методы, как ARP-отравление, DNS-спуфинг или Вредоносная точка доступа Wi-FiВам необходимо перехватить трафик и, если он зашифрован, взломать или подделать канал TLS (например, с помощью удаления SSL или поддельных сертификатов).
С другой стороны, «Человек в браузере» (MITB) опирается на Вредоносное ПО троянского типа Заражает браузер пользователя. Этот вредоносный код подключается к командному серверу (C&C), отслеживает ваши посещения банковских или других веб-сайтов и размещает дополнительные формы или потоки для кражи учетных данных и выполнения переводы или действия, которые вы не заметили. Даже если вы находитесь на настоящем домене и у вас есть правильный сертификат, MITB манипулирует локальным DOM после входа в систему отключите такие средства защиты, как одноразовые пароли.
BitM — это своего рода компромисс: он не требует взлома вашего устройства или сети, но достигает того же практического эффекта, что и MITB, управляя сеансом из удалённого браузера, которым вы управляете, не подозревая об этом. Его успех основан на высококачественные клонированные страницы и в точно скопированных потоках аутентификации, которые могут обмануть даже продвинутых пользователей.
Анатомия атаки «Browser-in-the-Middle»
Задокументированные инциденты часто укладываются в три взаимосвязанных этапа. Сначала появляется приманка: фишинг или смишинг Ссылка предлагает вам «подтвердить» свою учётную запись или запросить якобы возврат средств. Ссылка ведёт на мошеннический домен, название и внешний вид которого напоминают оригинальный.
На втором этапе, уже в клонированном веб-сайте, внедряются скрипты, которые подключаются к прозрачный браузер от злоумышленника. Клавиатурные шпионы могут быть активированы в самом сеансе удалённого доступа, есть оверлеи, запрашивающие дополнительные коды, и механизмы для перехвата файлов cookie и токенов непосредственно перед тем, как легитимный браузер защитит их при передаче.
Третий этап — атака на веб-приложение: жертва использует свой банк, электронную почту или ERP как обычно, но все данные проходят через прокси-сервер злоумышленника. На этом этапе учетные данные и токены сеанса уже находятся в руках злоумышленника, который может мгновенно использовать их повторно для открытия параллельных сеансов, не вызывая подозрений.
Токены сеанса и почему MFA может вас не спасти
После того, как вы подтвердите MFA (например, SMS-подтверждение), сервис обычно размещает в вашем браузере сеансовый токен (файлы cookie сеанса, JWT или другие артефакты OAuth), который авторизует ваши действия, не запрашивая учётные данные на каждом этапе. Ведущие исследования показали, что если это токен украден, аутентифицированная сессия украдена, поэтому противник может обойти MFA, не взламывая его.
Благодаря инфраструктуре Browser-in-the-Middle кража происходит за считанные секунды: подлинный веб-сайт отображается в браузере, контролируемом злоумышленником, что затрудняет его распознавание. Можно извлечь токен OAuth или другие файлы cookie. непосредственно перед шифрованием на канале злоумышленника и отправляются на его сервер практически в режиме реального времени, обеспечивая немедленный доступ.
Академические тесты, технический характер и тонкие различия
Научные работы — например, те, что подписаны исследователями из Университет Саленто Опубликованные в журналах по безопасности, они описывают модель BitM: жертва думает, что использует свой локальный браузер, но на самом деле «сидит перед компьютером злоумышленника и использует его клавиатуру». Этот нюанс объясняет, почему манипулирование потоком данных Она тотальна: удаленный посредник видит, сохраняет и, если захочет, изменяет.
Эта идея контрастирует с классическим MitM, который обычно полагается на прокси на уровне приложения и своего рода вредоносное ПО или сетевой контроль На хосте жертвы можно установить ненадежные сертификаты или перенаправить трафик. BitM снижает эту техническую зависимость, перенося обман на уровень интерфейса и человеческого поведения.
Классический MitM: приемы, податаки и ключевая проблема
Чтобы описать это явление, стоит рассмотреть элементы традиционного MitM. Среди наиболее распространённых путей проникновения: Вредоносный Wi-Fi (точка доступа, которая перенаправляет или проверяет весь трафик), ARP-спуфинг (связывание IP-адресов с MAC-адресом злоумышленника), DNS-спуфинг (отравление кэшей для перенаправления доменов) или даже Перехват BGP в больших масштабах для перенаправления маршрутов в Интернете.
Затем идёт TLS-соединение. Если трафик зашифрован, злоумышленник пытается взломать или обмануть канал, используя такие тактики, как Разбор SSL (принудительное использование HTTP вместо HTTPS), поддельные цифровые сертификаты, принимаемые жертвой, или понижение версии протокола. Инструменты анализа, такие как Ettercap или Wireshark облегчить осмотр потоков при срабатывании защиты.
Классические учебники иллюстрируют хрупкость системы распределения ключей на примере Алисы, Боба и Мэллори. Если Мэллори перехватит открытый ключ, который Боб посылает Алисе, и передаст его сам, Алиса, сама того не подозревая, зашифрует его для Мэллори; он прочтет его, сможет изменить и отправит обратно Бобу, зашифрованный правильным ключом. Урок очевиден: открытые ключи должны быть аутентифицированы (например, через доверенные центры сертификации или «закрепление сертификатов») или использовать альтернативные безопасные каналы; за некоторыми исключениями, такими как протокол взаимоблокировки, системы, устойчивые к атакам MitM, требуют подлинный дополнительный обмен информации.
Помимо перехвата, MitM-атаки включают в себя известные податаки: анализ известного трафика и открытого текста, замещающие атаки, повторное воспроизведение сообщений и даже отказ в обслуживании, когда злоумышленник отключает канал и заставляет повторять попытки; в этих случаях аутентифицированные сообщения о состоянии помогают проверить непрерывность.
MITB (Man-in-the-Browser): когда вредоносное ПО живет в браузере
Атаки MITB возникают из-за троянов, встроенных в браузер, которые подключаются к C&C-сервер, загружают списки целевых объектов (например, конкретных банков), отслеживают вход пользователя в систему, а затем внедряют поддельные формы или шаги. Даже если пользователь находится на легитимном сайте, манипуляции происходят после входа. Авторизоваться, поэтому даже одноразовые пароли могут оказаться недостаточными, если мошенническое действие выполняется в том же сеансе.
Этот вектор стал популярным много лет назад в банковском мошенничестве и теперь применяется к различным сервисам. В условиях MITB методы проверки сертификатов или просто проверка блокировки недостаточны, поскольку канал связи с сервером корректен; проблема в том, что местная окружающая среда находится под угрозой.
Признаки кампании и недавние случаи
В последнее время появились наборы для атак, в которых реализован подход «Browser-in-the-Middle», а также распространяются тактики дешифрования. социальная инженерия Не менее привлекателен, чем скрытые ссылки в вирусных постах или видео на социальных платформах. Цель — значительно расширить охват и масштабировать сеансы с помощью инфраструктур, отслеживающих взаимодействие. живой и без вредоносных программ на конечной точке.
С точки зрения категоризации эта закономерность отражена в таких каталогах, как КАПЭК-701 и часто упоминается в отчетах об угрозах из-за своей эффективности при перехвате веб-сеансов с относительно низкими накладными расходами.
Связанные методы и векторы, которые используют MitM
У злоумышленников есть широкий арсенал, позволяющий им расположиться посередине или имитировать каналы: Подмена DHCP для указания шлюзов и DNS жертвам в локальной сети, имитация мощных точек доступа, которые «привлекают» мобильные телефоны в кафе или аэропортах, подмена IP-адресов, отравление кэша ARP и перехват сеанса с кражей cookie-файлов браузера.
Атаки на перехват и перехват SSL также широко распространены, особенно в ситуациях, когда пользователь игнорирует букву «S» в HTTPS или игнорирует предупреждения браузера. Типичная схема: пользователь запрашивает HTTPS у сервиса, злоумышленник обрабатывает запрос на сервере, но возвращает Небезопасный HTTP Жертва вводит данные в поддельной, незашифрованной версии; если пользователь не заметит отсутствия замка или предупреждения системы безопасности, учетные данные будут утеряны в течение нескольких секунд.
Надлежащая практика защиты: от пользователя к компании
Надёжная защита от BitM и его сородичей требует сочетания технологий и привычек. Для начала рекомендуется расставить приоритеты в подключениях. HTTPS / TLS И будьте осторожны с формами со странными или укороченными URL-адресами, запрашивающими конфиденциальные данные. Замок имеет значение, но не менее важно написание домена, поддомена и контекста, в котором поступает запрос. И не забывайте обновлять браузер до последней версии. продолжайте безопасный просмотр.
Когда вы подключаетесь вне дома, VPN Это снижает риск перехвата вашего трафика MitM (Microsoft Internet Protocol) в общедоступных сетях, шифруя его на всем протяжении туннеля. Обратите внимание, что это не предотвращает атаку типа «Browser-in-the-Middle», если вы сами посещаете клонированный сайт, но затрудняет перехват и манипуляцию вашим трафиком в открытом Wi-Fi-соединении.
При аутентификации свяжите одобрение с устройствами или факторами, устойчивыми к фишингу (физические ключи, локальная биометрия, контекстно-зависимые уведомления) поднимают планку. На уровне сеанса настоятельно рекомендуется включить файлы cookie с флагами. Безопасный y HttpOnly, SameSite, где это уместно, и применять ограничения на основе контекста (IP, география, агент), которые запускают оповещения или отзыв.
Еще один мощный элемент управления – это подкрепление токеномИспользуйте ротируемые, краткосрочные и с переменным сроком действия файлы cookie, а в идеале привязывайте их к параметрам устройства и сети, чтобы их кража вне контекста была малоценной. Таким образом, даже если BitM перехватит файл cookie, период его полезности значительно сократится.
Расширенные возможности управления для организаций
Изоляция браузера уменьшает площадь поверхности при запуске опасных сайтов на удаленные контейнеры которые показывают пользователю только безопасную версию. Если страница оказывается клоном, вредоносный код не попадает на конечную точку, а конфиденциальные данные могут быть выборочно раскрыты или заблокированы.
Выполняйте регулярные упражнения Красная Команда С помощью сценариев обмана на основе браузера он помогает обнаружить реальные пробелы: от принятия сомнительных сертификатов до сбоев в обнаружении одновременных сеансов или вредоносных потоков восстановления учетных записей.
Непрерывный мониторинг сеанса и использование УЭБА (аналитика поведения пользователей и сущностей) для обнаружения аномальных шаблонов (например, повторное использование допустимого файла cookie вскоре после этого из другого места) позволяет осуществлять агрессивный отзыв токенов и повторную аутентификацию с помощью улучшенной многофакторной аутентификации (MFA).
На уровне сети и DNS включение добавляет точки DNSSEC, отслеживать критические маршруты BGP и применять списки блокировки для доменов, имитирующих бренд. Для серверов и API включите ограничение скорости, контроль повторного воспроизведения и проверка целостности конфиденциальных форм.
В политиках идентификации используйте действительно устойчивую к фишингу многофакторную аутентификацию (MFA) и укрепите пароли с помощью адаптивных политик. Если вы работаете с Active Directory, стоит периодически проводить аудит учетных записей по огромным хранилищам раскрытых учетных данных (порядка миллиардов) и требовать ротации при наличии совпадений.
Цифровая гигиена и обучение пользователей
Обучение остаётся важнейшим щитом. Научите свою команду ссылки для предварительного просмотра Прежде чем кликнуть, с подозрением отнестись к срочным запросам на «проверку» и внимательно изучить небольшие визуальные несоответствия на важных сайтах. Расширения для браузера, предупреждающие о клонированных или сомнительных сайтах, могут стать последней линией обороны.
Кроме того, возьмите за привычку выходить из конфиденциальных сервисов, отключать автоматическое сохранение паролей в браузерах без шифрования хранилища и активировать оповещения Входите с новых устройств и из новых мест. Любые меры, которые могут усложнить жизнь злоумышленнику с украденным токеном, того стоят.
Проверка и фиксация сертификата
Никогда не принимайте сертификат, который браузер помечает как подозрительный, если у вас нет на то причин. очень оправдано. Для мобильных приложений и собственных клиентов применяется прикрепление сертификата для закрепления ожидаемого сертификата или открытого ключа; это не позволяет злоумышленнику с мошенническим центром сертификации перехватывать трафик без генерации оповещений.
Помните, что центры сертификации (ЦС) должны быть доверенными, а их открытые ключи должны предоставляться по защищённым каналам — браузеры и системы уже имеют хранилище ЦС. Если вы обслуживаете критически важные сервисы, следите за выдачей сертификаты-двойники от вашего домена, чтобы отсечь их как можно скорее.
Примеры использования в Интернете вещей и мобильных устройствах
Устройства Интернета вещей и некоторые мобильные приложения по-прежнему используют небезопасные протоколы, такие как HTTP или Telnet без шифрования и обеспечения целостности. В таких условиях злоумышленник, находящийся на пути передачи данных (ему достаточно лишь контролируемой точки доступа Wi-Fi), может читать и изменять данные по своему усмотрению. Требуйте использования современных протоколов TLS, проверяйте сертификаты и строго ограничивайте возможности каждого устройства в сети; также рассмотрите системы, ориентированные на конфиденциальность, такие как ГрафенОС для сценариев, где устойчивость к фишингу и целостность имеют решающее значение.
Когда организация проверяет TLS по своему периметру, используя собственные сертификаты, она должна тщательно защищать это инспекционная инфраструктура: Компромисс в этом случае позволит злоумышленнику действовать как идеальный MitM, расшифровывая и повторно шифруя сеансы, при этом пользователь не будет знать, что за ним кто-то наблюдает.
Контрольный список для быстрого смягчения последствий
- приоритизирует HTTPS и проверяйте домены перед вводом конфиденциальных данных.
- Избегайте публичных сетей Wi-Fi без пароля и, если нет альтернативы, используйте VPN.
- Активный MFA, устойчивый к фишингу и привязывает сеансы к устройству.
- Настройка файлов cookie с флагами Secure/HttpOnly/SameSite и краткосрочные токены.
- Держать конечные точки, браузер и расширения обновлены; используйте защиту от фишинга.
- Считает ислам мореплавателя для рискованных сайтов и применяет Zero Trust.
- Обучайте пользователей и укрепляйте их УЭБА и мониторинг сеанса.
Хотя атаки типа «Browser-in-the-Middle» обходят традиционные средства защиты, используя опасное сочетание визуального обмана и контроля сеанса, они не обязательно застанут вас врасплох. Благодаря хорошо скоординированным слоям — правильным практикам просмотра веб-страниц, контроль личности и сеанса Надежность, изоляция при необходимости и быстрое реагирование на аномалии — вы можете значительно сократить их окно возможностей и не допустить, чтобы простой щелчок приводил к катастрофе. Поделитесь этой информацией, чтобы больше пользователей узнали о Browser-in-the-Middle и о том, что с этим делать.