BLOG

Finanz-Malware und ihre Tricks: Man-In-The-Browser-Angriffe

Shahnawaz Backer-Vorschaubild
Shahnawaz Backer
Veröffentlicht am 23. Mai 2016

Malware und ihre Auswirkungen

Durch Schadsoftware ist der Finanzbranche ein Schaden in Milliardenhöhe entstanden, und ein Weg zurück ist nicht in Sicht. An diesem Punkt könnte man meinen, das Feld sei so lukrativ, dass Malware-Autoren neue Angriffe dafür ausarbeiten würden, doch wir stellen fest, dass Malware Codes wiederverwendet und in verschiedenen Formen wiedergeboren wird.  Die meisten Schadsoftwares nutzen Exploits wie Man in The Browser (MiTB), Man in The Middle [MITM] usw. für ihre schändlichen Zwecke.

 In diesem Artikel geht es um „Man in the Browser“ und die auf der Betrugsschutz Solution (FPS) von F5 basierenden Abwehrmaßnahmen. Es ist bekannt, dass eine ganze Schule von Schadsoftware diesen Angriffsvektor nutzt.  Bugat, Gozi, Tatanga, SpyEye und Zeus sind einige der bekannten Schadsoftware, die die MiTB-Technik verwenden.

Was ist Man in the Browser?

Ein Trojaner, der den Browser infiziert und die Seiten und Transaktionen heimlich ändert, bevor sie dem Benutzer angezeigt oder an den Server übermittelt werden, kann als MiTB zusammengefasst werden.

Die meisten Browser bieten Funktionen zur Erweiterung der Möglichkeiten; diese sind als Browser Helper Objects für Windows, als Erweiterung für Google Chrome und als Plug-Ins für Firefox usw. verfügbar. Diese Erweiterungen ermöglichen zwar ein individuelles Browsen, werden jedoch auch von Schadsoftware als Werkzeug eingesetzt. Stellen Sie sich vor, Sie melden sich das nächste Mal bei Ihrer Lieblingsbank an und es wird Ihnen eine Meldung wie diese angezeigt. Sie würden sagen, dass MiTB aktiv ist.

 

 

Leider gehen die Angreifer raffiniert und subtil vor und agieren alles hinter verschlossenen Türen. Sie nutzen die Möglichkeiten des Browsers, um das Surferlebnis der Benutzer zu verbessern und wenden diese zu bösen Zwecken an. Der folgende Screenshot zeigt eine Schadsoftware, die mit erfassten Anmeldeinformationen eine verdeckte Anfrage an eine Dropzone stellt.

 

Die Betrugsschutz von F5 ist die Antwort

Die Betrüger nutzen den Browser, um Informationen zu stehlen, und die Server bemerken diese Transaktionen, die vom Client ausgehen, überhaupt nicht.  Was heute nötig ist, ist die Überwachung dieser vom Browser des Kunden ausgehenden Transaktionen, ohne dessen Surfgewohnheiten zu beeinträchtigen oder zu verändern.  Das FPS von F5 hilft bei der Überwachung solcher verdächtigen Aktivitäten.

Zu den einzigartigen Fähigkeiten von F5 zur Abwehr von MiTB-Angriffen gehören

 

  • Verschleierung von HTML-Formularfeldern: Vertrauliche Feldnamen wie Benutzername und Passwort werden durch zufällige Zeichenfolgen ersetzt, wodurch automatisierte Skripte, die nach bestimmten DOM-Elementen (Document Object Model) suchen, vereitelt werden.

    •  

     

  • Echtzeit-Verschlüsselung sensibler Felder: Identifizierte kritische Felder werden während der Benutzereingabe verschlüsselt.

    •  

     

  • Gefälschte Striche zum Überlisten browserbasierter Keylogger:  Die generierten Tastenanschläge verbergen die tatsächlichen Benutzereingaben und verhindern so, dass browserbasierte Keylogger eingesetzt werden.

    •  

     

  • Warnungen bei externer Skript-Injektion durch Malware: FPS benachrichtigt die Banken, wenn ein AJAX-Beitrag an eine andere Domäne gesendet wurde.

    •  

    Abschluss

    Man-In-the-Browser-Angriffe können die Kanalverschlüsselung umgehen und vertrauliche Information aus dem Browser stehlen. Die FPS-Lösung von F5 hilft, die Sicherheitslücke zu schließen und bietet Unternehmen Transparenz und Schutz im Browser der Benutzer.

    Ressourcen