F5 SOC: Desligando scripts maliciosos em tempo real
É apenas parcialmente verdade que as pessoas são o elo mais fraco na cadeia de segurança da informação. O elo realmente mais fraco é o navegador.
Isso ocorre porque o navegador é um desses aplicativos aos quais ninguém realmente presta muita atenção, provavelmente porque, na maioria dos casos, os profissionais de segurança da informação não têm absolutamente nenhum controle sobre ele. Os clientes podem ser (e muitas vezes são) persuadidos ou até mesmo ameaçados com a falta de suporte para aplicativos online se não mantiverem seus navegadores atualizados, mas além disso? Simplesmente não há como gerenciar os vários componentes de um navegador que podem – e levam – ao comprometimento.
Mas você pode monitorá-lo, pelo menos enquanto seu operador estiver interagindo com seu site. Foi exatamente esse tipo de monitoramento que recentemente ajudou o F5 SOC a detectar – e encerrar – um pequeno script vicioso.
O F5 SOC, que apoia ativamente nossa oferta WebSafe , gasta muito tempo pesquisando uma variedade de malware e scripts que ameaçam instituições financeiras e seus clientes. Uma das maneiras pelas quais o WebSafe protege clientes e organizações é por meio de um monitoramento ativo (em tempo real) de cada aspecto da conversa entre um cliente e um aplicativo. Por causa desse monitoramento ativo nas comunicações em tempo real, ele é capaz de detectar e alertar nossos analistas de segurança quando algo parece suspeito (trocadilho intencional). O que aconteceu recentemente (10 de novembro de 2015 às 18:54 (UTC), se você quiser ser preciso), quando notou um script que considerou malicioso sendo injetado em um navegador que interagia com um aplicativo financeiro.
A injeção de script em navegadores (frequentemente chamada de ataques MItB ou “ Man in the Browser ”) geralmente é realizada por malware existente, como um trojan baixado e instalado graças a uma tentativa bem-sucedida de phishing (surpreendentemente, 45% ainda têm sucesso ) ou por meio de um complemento de navegador infectado.
Esses scripts maliciosos são bem elaborados e conseguem facilmente enganar os usuários, fazendo-os fornecer mais informações do que o necessário, além de bisbilhotar comunicações e roubar credenciais, informações de contas financeiras e qualquer outra coisa que possa oferecer meios para, mais tarde, cometer fraudes com sucesso. E são difíceis de detectar, a menos que você esteja monitorando ativamente o navegador de uma forma que não seja facilmente contornada pelo lacaio do invasor, o malware.
Esse é um dos benefícios de uma solução como o WebSafe, pois ele é capaz de monitorar atividades em tempo real sem exigir agentes eventualmente identificáveis ou complementos do navegador. E foi isso que levou à descoberta e ao subsequente desligamento poucas horas depois deste último ataque com script injetado.
Você pode aprender mais sobre o WebSafe aqui e se aprofundar nos detalhes técnicos deste script malicioso neste relatório do F5 SOC .
Fique seguro lá fora!