Hoe de browser de belangrijkste cyber -slagveld werd

Cyberbeveiliging
Cyber Battleground

Tot voor kort was de cyberaanvallersmethode achter de grootste inbreuken van het afgelopen decennium behoorlijk consistent:

  • Een eindpunt compromitteren via software -exploit, of social engineering een gebruiker om malware op zijn apparaat uit te voeren;
  • Zoek manieren om lateraal in het netwerk te bewegen en de bevoorrechte identiteiten te compromitteren;
  • Herhaal indien nodig totdat u uw gewenste aanval kunt uitvoeren – meestal het stelen van gegevens van bestandsaandelen, het implementeren van ransomware of beide.

Maar aanvallen zijn fundamenteel veranderd naarmate netwerken zijn geëvolueerd. Met de SaaS-ificatie van Enterprise IT, zijn kernbedrijfssystemen niet lokaal geïmplementeerd en centraal beheerd op de manier waarop ze vroeger waren. In plaats daarvan worden ze ingelogd via internet en toegankelijk via een webbrowser.

Onder het gedeelde verantwoordelijkheidsmodel is het deel dat wordt overgelaten aan het bedrijf dat een SaaS -service consumeert meestal beperkt tot hoe ze de identiteiten beheren – het voertuig waarmee de app wordt toegankelijk en gebruikt door het personeelsbestand. Het is geen verrassing dat dit de zachte onderbuik is geworden in het vizier van aanvallers.

We hebben dit keer op keer gezien in de grootste inbreuken van de afgelopen jaren, met de hoogtepunten, waaronder de massieve sneeuwvlokcampagne in 2024 en de 2025 misdaadgolf toegeschreven aan verspreide spin.

Deze aanvallen zijn zo succesvol, want hoewel aanvallers zijn verhuisd met de wijzigingen om IT te ondernemen, is de beveiliging niet echt bijgehouden.

De browser is het nieuwe slagveld – en een blinde vlek

Het overnemen van personeelsidentiteiten is het eerste doel voor aanvallers die een organisatie willen richten, en de browser is de plaats waar de aanvallen op gebruikers plaatsvinden. Dit komt omdat het is waar deze digitale identiteiten worden gemaakt en gebruikt – en hun referenties en sessies leven. Dit is wat de aanvaller wil in handen krijgen.

Gestolen referenties kunnen worden gebruikt als onderdeel van gerichte aanvallen of in bredere referentievulling (fietsen bekende gebruikersnaam en inlogparen tegen verschillende apps en platforms), terwijl gestolen sessietokens kunnen worden gebruikt om direct in te loggen op een actieve sessie, die het authenticatieproces omzeilt.

Er zijn een paar verschillende technieken die aanvallers kunnen gebruiken om toegang te krijgen tot deze identiteiten. Aanvallers oogsten gestolen referenties van verschillende plaatsen – Datalek dumps,, massa referentie phishing campagnes, Infostealer -logboekenzelfs kwaadaardige browservertensies dat ze een medewerker hebben misleid om te installeren. In feite is het cybercrime -ecosysteem zelf op zijn as verschoven om hierop tegemoet te komen, waarbij hackers specifiek de rol van het oogsten van referenties op zich nemen en accounttoegang opstellen voor anderen om te exploiteren.

De spraakmakende sneeuwvlokken in 2024 betekende een keerpunt in de verschuiving naar identiteitsgestuurde inbreuken, waarbij aanvallers zich aanmelden bij accounts over honderden huurders van klanten met behulp van gestolen referenties. Een van de primaire bronnen van de gestolen referenties die in de aanvallen werden gebruikt, waren infostealerlogboeken die teruggaan tot 2020 – overtreden wachtwoorden die niet waren gedraaid of beperkt met MFA.

Infostealers zijn opmerkelijk omdat ze een eindpuntaanval zijn dat is ontworpen om referenties en sessietokens (voornamelijk van de browser) te oogsten om de aanvaller in staat te stellen zich vervolgens in te loggen op die services … via hun eigen webbrowser. Dus zelfs de eindpuntaanvallen van vandaag zien de aanvaller terug in de browser om identiteiten te bereiken – de sleutel tot de online apps en services waar exploiteerbare gegevens en functionaliteit zich nu bevinden.

Aanvallen in de browser versus in de browser

Er is een belangrijk onderscheid te maken tussen aanvallen die plaatsvinden in de browser, versus degenen die plaatsvinden tegen de browser zelf.

Er is dat groeiende consensus De browser is het nieuwe eindpunt. Maar de analogie is niet perfect – de realiteit is dat webbrowsers een relatief beperkt aanvalsoppervlak hebben in vergelijking met de complexiteit van het traditionele eindpunt – het vergelijken van zoiets als Google Chrome met een Windows OS lijkt een zeer ongelooflijk concept.

Aanvallen die zich richten op de browser zelf als een mechanisme om identiteiten in gevaar te brengen, zijn maar weinig tussen. Een van de meer voor de hand liggende vectoren is het gebruik van kwaadaardige browservertensies – dus scenario’s waarin een gebruiker ook heeft:

  • Zijn gelokt bij het installeren van een reeds kwaadaardige uitbreiding, of
  • Gebruikt een browserverlenging die later wordt gecompromitteerd door een aanvaller

Maar het probleem van kwaadaardige extensies is iets dat je eenmaal oplost en vervolgens verder gaat. De realiteit is dat gebruikers geen willekeurige browservertensies moeten installeren, en gezien het risico zou u moeten:

  • Vergrendel uw omgeving om slechts een handvol essentiële uitbreidingen toe te staan.
  • Monitor voor indicatoren dat een uitbreiding die u vertrouwt, is aangetast.

Dit is niet van toepassing in een omgeving waar u gebruikers volledige toegang geeft om alle extensies te installeren die ze kiezen. Maar als de browser het nieuwe eindpunt is, is dit een beetje zoals al uw gebruikers lokale beheerders zijn – u vraagt om problemen. En het vergrendelen van extensies in uw organisaties is iets dat kan worden bereikt met behulp van native tools als u bijvoorbeeld een Chrome Enterprise -klant bent. Audit uw gebruikers eenmaal, keurt alleen goed wat nodig is en vereisen verdere goedkeuring om nieuwe extensies te installeren.

Identiteit is de prijs, browser is het platform – en phishing is het favoriete wapen

Maar de techniek die nog steeds de meest impactvolle identiteitsgestuurde inbreuken drijft? Het is phishing. Phishing voor referenties, sessies, OAuth -toestemming, autorisatiecodes. Phishing via e -mail, instant messenger, sociale media, kwaadaardige Google -advertenties … het gebeurt allemaal in of leidt tot de browser.

En moderne phishing -aanvallen zijn effectiever dan ooit. Tegenwoordig werkt phishing op industriële schaal, met behulp van een scala aan obfuscatie- en detectieontduiking technieken om e -mail- en netwerkbeveiligingshulpmiddelen te blokkeren om ze te onderscheppen. Waarschijnlijk is het meest voorkomende voorbeeld van vandaag het gebruik van botbescherming (denk aan captcha of cloudflare tourniquet), met behulp van legitieme anti-spam-functies om beveiligingshulpmiddelen te blokkeren.

De nieuwste generatie volledig aangepaste AITM-phishing-kits verdoezelt dynamisch de code die de webpagina laadt, aangepaste captcha implementeert en runtime-anti-analysefuncties gebruikt, waardoor ze steeds moeilijker te detecteren worden. De manieren waarop links worden geleverd, zijn ook toegenomen in verfijning, met meer bezorgkanalen (zoals we hierboven hebben aangetoond) en het gebruik van legitieme SaaS -diensten voor camouflage.

En de nieuwste trends geven aan dat aanvallers reageren op steeds meer verharde IDP/SSO -configuratie door alternatieve phishing -technieken te benutten die omzeilen MFA en Passkeysmeestal door Downgraden naar een phishable back -up authenticatiemethode – die je hieronder in actie kunt zien en hier meer over lees.

https://www.youtube.com/watch?v=ls-m7zgumii

Identiteiten zijn de laagste hangende vrucht voor aanvallers om naar te streven

Het doel van de moderne aanvaller, en de gemakkelijkste weg naar de digitale omgeving van uw bedrijf, is om identiteiten in gevaar te brengen. Of u nu te maken hebt met phishing -aanvallen, kwaadaardige browservertensies of infostealer -malware, het doel blijft hetzelfde – accountovername.

Organisaties hebben te maken met een enorm en kwetsbaar aanvalsoppervlak dat bestaat uit:

  • Honderden applicaties, met duizenden rekeningen verspreid over het landgoed.
  • Accounts die kwetsbaar zijn voor MFA-Bypass phishing-kits, omdat ze een inlogmethode gebruiken die niet phishing-resistent is, of omdat de inlogmethode kan worden gedegradeerd.
  • Accounts met een zwak, hergebruikt of overtreden wachtwoord en geen MFA helemaal (meestal het resultaat van een Ghost-Ghost-login).
  • Het omzeilen van het authenticatieproces volledig om anders phishing-resistente authenticatiemethoden te ontwijken, door functies zoals API-sleutelcreatie, appspecifieke wachtwoorden, OAuth toestemming te misbruiken, phishing, cross-IDP-imitatie en meer.

Een belangrijk stuurprogramma voor identiteitskwetsbaarheid is de enorme variantie in de configureerbaarheid van accounts per applicatie, met verschillende niveaus van gecentraliseerde zichtbaarheid en beveiligingscontrole van identiteiten – bijvoorbeeld, terwijl de ene app kan worden vergrendeld om alleen SSO -aanmeldingen te accepteren via SAML en automatisch ongebruikte wachtwoorden verwijdert en automatisch een ongebruikte wachtwoorden verwijdert en automatisch wordt verwijderd van de ongebruikte wachtwoorden en automatisch verwijdert u ongebruikte wachtwoorden. Helaas, als bijproduct van door producten geleide groei en iets dat wordt verergerd door elke nieuwe SaaS-startup die op de markt komt, ziet deze situatie er niet uit alsof het snel zal veranderen.

Het eindresultaat is dat identiteiten verkeerd worden geconfigureerd, onzichtbaar voor het beveiligingsteam en routinematig worden uitgebuit door commodity -aanvaller tooling. Het is geen verrassing dat ze vandaag het primaire doelwit zijn voor aanvallers.

De oplossing: de browser als een telemetriebron en controlepunt

Omdat identiteitsaanvallen in de browser spelen, is dit de perfecte plek voor beveiligingsteams om deze aanvallen te observeren, te onderscheppen en te sluiten.

De browser heeft een aantal voordelen ten opzichte van de verschillende plaatsen waar identiteit kan worden waargenomen en beschermd, omdat:

  • U bent niet beperkt tot de apps en identiteiten die rechtstreeks zijn verbonden met uw IDP (een fractie van uw personeelsidentiteitsuitbreiding).
  • U bent niet beperkt tot de apps die u kent en het centraal beheren – u kunt elke login waarnemen die door de browser gaat.
  • U kunt alle eigenschappen van een login waarnemen, inclusief de inlogmethode, MFA -methode, enz. U hebt anders API -toegang nodig misschien Krijg deze informatie (afhankelijk van of een API wordt verstrekt en of deze specifieke gegevens kunnen worden ondervraagd, ook niet standaard voor veel apps).

Het is duidelijk met alles wat we tot nu toe hebben behandeld dat het oplossen van elke identiteitskwetsbaarheid een onheilspellende taak is – het SaaS -ecosysteem zelf werkt tegen u. Dit is de reden waarom het detecteren en reageren op identiteitsaanvallen essentieel is. Omdat identiteitscompromis bijna altijd phishing of social engineering een gebruiker omvat om een actie uit te voeren in hun browser (met enkele uitzonderingen na-zoals de verspreide spider-gerelateerde helpdeskaanvallen die recent worden gezien), zijn het ook de perfecte plek om te controleren op en aanvallen te onderscheppen.

In de browser verzamelt u diepe, gecontextualiseerde informatie over paginagedrag en gebruikersinvoer die kunnen worden gebruikt om risicovolle scenario’s in realtime te detecteren en af te sluiten. Neem het voorbeeld van phishing -pagina’s. Omdat push in de browser werkt, ziet het alles:

  • De pagina -lay -out
  • Waar de gebruiker vandaan kwam
  • Het wachtwoord dat ze invoeren (als een gezouten, afgekorte hash)
  • Welke scripts zijn actief
  • En waar inloggegevens worden verzonden

Conclusie

Identiteitsaanvallen zijn vandaag het grootste onopgeloste probleem waarmee beveiligingsteams worden geconfronteerd en de belangrijkste oorzaak van inbreuken op de beveiliging. Tegelijkertijd presenteert de browser beveiligingsteams met alle tools die ze nodig hebben om op identiteit gebaseerde aanvallen te voorkomen, te detecteren en te reageren-proactief door identiteitskwetsbaarheden te vinden en te repareren, en reactief door het detecteren en blokkeren van aanvallen op gebruikers in realtime.

Organisaties moeten voorbij de oude manieren van het doen van identiteitsbeveiliging gaan-vertrouwen op MFA-attestaties, identiteitsbeheerdashboards en legacy e-mail- en netwerk anti-phishing-tools. En er is geen betere plek om deze aanvallen te stoppen dan in de browser.

Lees meer

Het browsergebaseerde beveiligingsplatform van Push Security biedt uitgebreide detectie- en responsmogelijkheden tegen de belangrijkste oorzaak van inbreuken. Pushblokken identiteitsaanvallen zoals AITM phishing, referentievulling, wachtwoordspuiten en sessiekaping met behulp van gestolen sessietokens. U kunt ook PUSH gebruiken om identiteitskwetsbaarheden te vinden en op te lossen in de apps die uw werknemers gebruiken, zoals Ghost -aanmeldingen, SSO -dekking, MFA -gaten, kwetsbare wachtwoorden, risicovolle oauth -integraties en meer.

Als je meer wilt leren over hoe PUSH je helpt om aanvallen in de browser te detecteren en te stoppen, boek dan wat tijd met een van ons team voor een live demo.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Meta’s camera smartwatch -project naar verluidt terug uit de dood

Het bedrijf sluit zich aan bij kritieke handelsdiscussies

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]