6 browser-gebaseerde aanvallen moeten beveiligingsteams zich nu voorbereiden

Cyberbeveiliging
6 browser-gebaseerde aanvallen moeten beveiligingsteams zich nu voorbereiden

Aanvallen die gericht zijn op gebruikers in hun webbrowsers hebben de afgelopen jaren een ongekende stijging gezien. In dit artikel zullen we onderzoeken wat een “browser-gebaseerde aanval” is en waarom ze zo effectief blijken te zijn.

Wat is een op browser gebaseerde aanval?

Ten eerste is het belangrijk om vast te stellen wat een op browser gebaseerde aanval is.

In de meeste scenario’s beschouwen aanvallers niet aan zichzelf als het aanvallen van uw webbrowser. Hun einddoel is om uw zakelijke apps en gegevens in gevaar te brengen. Dat betekent dat ik aan de services van derden gaat die nu de ruggengraat zijn van het bedrijfsleven.

Door het meest voorkomende aanvalspad vandaag inloggen aan aanvallers in services van derden, de gegevens dumpen en in geld genomen door afpersing. U hoeft alleen maar te kijken naar de Snowflake-klantenbreuken van vorig jaar of de nog steeds langdurige Salesforce-aanvallen om de impact te zien.

De meest logische manier om dit te doen is door zich te richten op gebruikers van die apps. En vanwege de wijzigingen in werkmethoden zijn uw gebruikers toegankelijker dan ooit voor externe aanvallers – en blootgesteld aan een breder scala van mogelijke aanvalstechnieken.

Er was eens een e-mail het primaire communicatiekanaal met de bredere wereld, en werk gebeurde lokaal-op uw apparaat en in uw vergrendelde netwerkomgeving. Dit maakte e -mail en het eindpunt de hoogste prioriteit vanuit een beveiligingsperspectief.

Maar nu, met modern werk dat gebeurt in een netwerk van gedecentraliseerde internet -apps en meer gevarieerde communicatiekanalen buiten e -mail, is het moeilijker om te voorkomen dat gebruikers interactie hebben met kwaadaardige inhoud (althans, zonder hun vermogen om hun werk te doen aanzienlijk belemmeren).

Aangezien de browser de plaats is waar zakelijke apps worden toegankelijk en gebruikt, is het logisch dat aanvallen daar ook in toenemende mate spelen.

De 6 belangrijke browser-gebaseerde aanvallen die beveiligingsteams moeten weten

1. PHIBLES VOOR CREFENTIES EN SESSIES

De meest directe manier voor een aanvaller om een ​​zakelijke applicatie in gevaar te brengen, is om een ​​gebruiker van die app te phish. Je denkt misschien niet noodzakelijk aan phishing als een browser-gebaseerde aanval, maar dat is precies wat het vandaag is.

Phishing Tooling en Infrastructure zijn in het afgelopen decennium veel geëvolueerd, terwijl de veranderingen in de zaken betekent dat er beide veel meer vectoren zijn voor phishing -aanvalslevering en apps en identiteiten om te targeten.

Aanvallers kunnen links leveren via instant messenger-apps, sociale media, sms, kwaadaardige advertenties en in-app messenger-functionaliteit gebruiken, en e-mails rechtstreeks vanuit SaaS-services verzenden om e-mailgebaseerde cheques te omzeilen. Evenzo zijn er nu honderden apps per onderneming om zich te richten, met verschillende niveaus van accountbeveiligingsconfiguratie.

Tegenwoordig werkt Phishing op industriële schaal, met behulp van een scala aan verduistering en detectieontduiking technieken. De nieuwste generatie volledig aangepaste MFA-bypassing phishing-kits verdoezelt dynamisch de code die de webpagina laadt, het implementeren van aangepaste botbescherming (bijv. Captcha of CloudFlare Turnstile), met behulp van runtime-anti-analyse-functies en het gebruik van legitieme SaaS- en cloudservices om phishing-links te hosten en te leveren om hun tracks te behandelen. Je kunt meer lezen over de manieren waarop moderne phishing -aanvallen detectiebeheersing hier omzeilen.

Deze veranderingen maken phishing effectiever dan ooit, en steeds moeilijker te detecteren en te blokkeren met behulp van e-mail- en netwerkgebaseerde anti-phishing-tools.

2. kwaadwillend kopiëren en plakken (aka. Clickfix, FileFix, etc.)

Een van de grootste beveiligingstrends in het afgelopen jaar was de opkomst van de aanvalstechniek die bekend staat als ClickFix.

Oorspronkelijk bekend als “Fake Captcha”, proberen deze aanvallen gebruikers te misleiden om kwaadaardige opdrachten op hun apparaat uit te voeren – meestal door een vorm van verificatie -uitdaging in de browser op te lossen.

In werkelijkheid, door de uitdaging op te lossen, kopieert het slachtoffer eigenlijk kwaadaardige code van het pagina -klembord en voert het op hun apparaat uit. Het geeft meestal de slachtoffer -instructies die betrekking hebben op het klikken op prompts en het kopiëren, plakken en uitvoeren van opdrachten rechtstreeks in het dialoogvenster Windows Run, Terminal of PowerShell. Varianten zoals FileFix zijn ook naar voren gekomen, die in plaats daarvan de adresbalk van File Explorer gebruiken om OS -opdrachten uit te voeren, terwijl recente voorbeelden deze aanvalsfilm naar Mac hebben gezien via de MacOS -terminal.

Meestal worden deze aanvallen gebruikt om infostealer -malware te leveren, met behulp van gestolen sessiekoekjes en referenties om toegang te krijgen tot zakelijke apps en services.

Net als moderne referenties en sessie -phishing, worden links naar kwaadaardige pagina’s gedistribueerd over verschillende leveringskanalen en het gebruik van een verscheidenheid aan kunstaas, waaronder het zich voordoen als Captcha, CloudFlare Turnstile, het simuleren van een fout die een webpagina laadt, en nog veel meer. Veel van dezelfde bescherming die worden gebruikt om te verdoezelen en te voorkomen dat analyse van phishingpagina’s van toepassing is op ClickFix -pagina’s, waardoor het even uitdagend is om ze te detecteren en te blokkeren.

3. Kwaadaardige oauth -integraties

Malicious Oauth-integraties zijn een andere manier voor aanvallers om een ​​app in gevaar te brengen door een gebruiker te misleiden om een ​​integratie toe te staan ​​met een kwaadaardige, aanvallergestuurde app. Dit staat ook bekend als toestemming phishing.

Dit is een effectieve manier voor aanvallers om geharde authenticatie en toegangscontroles te omzeilen door het typische inlogproces te omzeilen om een ​​account over te nemen. Dit omvat phishing-resistente MFA-methoden zoals Passkeys, omdat het standaard inlogproces niet van toepassing is.

Een variant van deze aanval heeft de krantenkoppen onlangs gedomineerd met de lopende inbreuken op Salesforce. In dit scenario heeft de aanvaller het slachtoffer misleid om een ​​door aanvallers gecontroleerde OAuth-app te autoriseren via de apparaatcode-autorisatiestroom in Salesforce, waarbij de gebruiker een 8-cijferige code moet invoeren in plaats van een wachtwoord of MFA-factor.

Het voorkomen van kwaadaardige OAuth-subsidies die worden geautoriseerd, vereist een strak in-app management van gebruikersrechten en beveiligingsinstellingen voor huurders. Dit is geen sinecure bij het overwegen van de 100s van apps die in de moderne onderneming worden gebruikt, waarvan vele niet centraal worden beheerd en beveiligingsteams (of in sommige gevallen volledig onbekend zijn). Zelfs dan wordt u beperkt door de bedieningselementen die door de app -leverancier beschikbaar worden gesteld.

In dit geval heeft Salesforce geplande wijzigingen aangekondigd in de autorisatie van de OAuth -app om de beveiliging te verbeteren die door deze aanvallen wordt gevraagd – maar er bestaan ​​nog veel meer apps met onveilige configures om in de toekomst te profiteren van aanvallers.

4. Schadelijke browservertensies

Schadelijke browservertensies zijn een andere manier voor aanvallers om uw zakelijke apps in gevaar te brengen door aanmeldingen te observeren en vast te leggen terwijl ze plaatsvinden, en/of het extraheren van sessiecookies en inloggegevens die zijn opgeslagen in de browsercache en wachtwoordbeheerder.

Aanvallers doen dit door hun eigen kwaadaardige extensie te creëren en uw gebruikers te misleiden om deze te installeren, of een bestaande extensie over te nemen om toegang te krijgen tot browsers waar deze al is geïnstalleerd. Het is verrassend eenvoudig voor aanvallers om kwaadaardige updates te kopen en toe te voegen aan bestaande extensies, waardoor de beveiligingscontroles voor extensie gemakkelijk worden doorgegeven.

Het nieuws rond op extensie gebaseerde compromissen is toegenomen sinds de uitbreiding van Cyberhaven werd gehackt in december 2024, samen met ten minste 35 andere uitbreidingen. Sindsdien zijn 100s kwaadaardige extensies geïdentificeerd, met miljoenen installaties.

Over het algemeen moeten uw werknemers niet willekeurig browservertensies installeren, tenzij vooraf goedgekeurd door uw beveiligingsteam. De realiteit is echter dat veel organisaties zeer weinig zichtbaarheid hebben van de uitbreidingen die hun werknemers gebruiken, en het potentiële risico waaraan ze hieraan worden blootgesteld.

5. kwaadwillende bestandsbezorging

Malicious -bestanden zijn al vele jaren een kernonderdeel van malware -levering en diefstal van de referentie. Net zoals niet-Email-kanalen zoals Malvertising en Drive-By Attacks worden gebruikt om phishing- en clickfix-kunstaas te leveren, worden kwaadaardige bestanden ook op vergelijkbare middelen gedistribueerd-het kwaadaardige bestandsdetectie overblijven aan basisbekende-Bad-controles, Sandbox-analyse met behulp van een proxy (niet zo nuttig in de context van Sandbox-aware malware) of runtime-analyse op het eindpunt.

Dit hoeft niet alleen kwaadaardige uitvoerbare bestanden te zijn die malware rechtstreeks op het apparaat laten vallen. Bestandsdownloads kunnen ook extra links bevatten die de gebruiker naar kwaadaardige inhoud brengen. In feite is een van de meest voorkomende soorten downloadbare inhoud HTML -applicaties (HTA’s), die gewoonlijk wordt gebruikt om lokale phishing -pagina’s te spawnen om referenties vast te leggen. Meer recent hebben aanvallers SVG-bestanden bewapend voor een soortgelijk doel, uitgevoerd als op zichzelf staande phishing-pagina’s die nep-inlogportals volledig client-side maken.

Zelfs als kwaadwillende inhoud niet altijd kan worden gemarkeerd door inspectie op oppervlakniveau van een bestand, is het opnemen van bestandsdownloads in de browser een nuttige toevoeging aan op eindpunt gebaseerde malwarebescherming en biedt een andere verdedigingslaag tegen bestandsdownloads die client-side aanvallen uitvoeren, of de gebruiker omleiden naar kwaadaardige webgebaseerde inhoud.

6. Gestolen referenties en MFA -gaten

Deze laatste is niet zozeer een op brows gebaseerde aanval, maar het is een product van hen. Wanneer referenties worden gestolen via phishing of infostealer malware, kunnen ze worden gebruikt om accounts over MFA te nemen.

Dit is niet de meest geavanceerde aanval, maar het is zeer effectief. Je hoeft alleen maar te kijken naar het sneeuwvlokaccount van vorig jaar eerder dit jaar compromissen of de Jira -aanvallen om te zien hoe aanvallers stolen referenties op schaal gebruiken.

Met de moderne onderneming met honderden apps, is de kans dat een app niet is geconfigureerd voor verplichte MFA (indien mogelijk) hoog. En zelfs wanneer een app is geconfigureerd voor SSO en verbonden is met uw primaire bedrijfsidentiteit, kunnen lokale “spookaanmeldingen” blijven bestaan, waardoor wachtwoorden zonder MFA nodig zijn.

Aanmeldingen kunnen ook worden waargenomen in de browser – het is in feite zo dicht bij een universele bron van waarheid als je gaat krijgen over hoe je werknemers daadwerkelijk inloggen, welke apps ze gebruiken en of MFA aanwezig is, waardoor beveiligingsteams kunnen worden gevonden en kunnen worden opgelost om kwetsbare aanmeldingen te vinden en te repareren voordat ze kunnen worden uitgebuit door aanvallers.

Conclusie

Aanvallen gebeuren in toenemende mate in de browser. Dat maakt het de perfecte plek om deze aanvallen op te sporen en te reageren. Maar op dit moment is de browser een blinde spot voor de meeste beveiligingsteams.

Het browsergebaseerde beveiligingsplatform van Push Security biedt uitgebreide detectie- en responsmogelijkheden tegen de belangrijkste oorzaak van inbreuken. Pushblocks op browser gebaseerde aanvallen zoals AITM phishing, referentievulling, wachtwoordspuiten en sessiekaping met behulp van gestolen sessietokens. U kunt ook PUSH gebruiken om kwetsbaarheden te vinden en op te lossen in de apps die uw werknemers gebruiken, zoals Ghost -aanmeldingen, SSO -dekking van hiaten, MFA -gaten, kwetsbare wachtwoorden, risicovolle oAuth -integraties en meer om uw identiteitsaanvaloppervlak te verharden.

Als je meer wilt leren over hoe PUSH je helpt om aanvallen in de browser te detecteren en te stoppen, bekijk dan ons nieuwste productoverzicht of boek wat tijd met een van ons team voor een live demo.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Rolling Stone -eigenaar sluit zich aan bij Fight tegen AI -overzichten

Qualcomm bevestigt Snapdragon 8 Elite Gen 5 terwijl hij probeert de naamsverandering uit te leggen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]