Zou u verwachten dat een eindgebruiker zich aanmeldt bij de computer van een cybercriminal, zijn browser opent en hun gebruikersnamen en wachtwoorden typen? Hopelijk niet! Maar dat is in wezen wat er gebeurt als ze het slachtoffer worden van een browser-in-the-middle (BITM) -aanval.
Net als man-in-the-middle (MITM) aanvallen, ziet BITM criminelen proberen de gegevensstroom tussen de computer van het slachtoffer en de doeldienst te beheersen, als onderzoekers van de Universiteit van Salento Franco Tommasi, Christian Catalano en Ivan Taurino hebben in een artikel voor de International Journal of Information Security geschetst. Er zijn echter verschillende belangrijke verschillen.
Man-in-the-middle vs browser-in-the-middle
Een MITM -aanval maakt gebruik van een proxyserver die zich plaatst tussen de browser van het slachtoffer en de legitieme doelservice bij de applicatielaag. Het heeft een soort malware nodig om te worden geplaatst en op de computer van het slachtoffer te worden uitgevoerd.
Maar een bitm -aanval is anders. In plaats daarvan denkt het slachtoffer dat ze hun eigen browser gebruiken – bijvoorbeeld hun normale online bankieren uitvoeren – terwijl ze in plaats daarvan eigenlijk een transparante externe browser runnen.
Zoals de paper opmerkt, is het alsof de gebruiker “voor de computer van de aanvaller zat, met behulp van het toetsenbord van de aanvaller”, wat betekent dat de aanvaller de gegevensuitwisseling tussen het slachtoffer en de service die ze toegang hebben kan vastleggen, opnemen en wijzigen.
Anatomie van een Bitm -aanval
Dus hoe werkt het? Een typische BITM -aanval vindt plaats in drie fasen:
- Phishing: Het slachtoffer wordt misleid om op een kwaadaardige hyperlink te klikken die wijst op de server van de aanvaller en authenticeert hun webtoepassing.
- Nepbrowser: Het slachtoffer is verbonden met de server van de aanvaller en met de transparante webbrowser via het invoegen van kwaadaardig JavaScript. De aanval zal programma’s zoals keyloggers gebruiken om de criminelen in staat te stellen de gegevens van het slachtoffer te onderscheppen en te gebruiken.
- Richt op webtoepassingen: Het slachtoffer gebruikt al hun gebruikelijke diensten online, zonder te beseffen dat ze een transparante browser gebruiken. Hun referenties worden nu blootgesteld aan de crimineel.
Session -tokens
De aanval werkt door sessie -tokens te richten. Hierdoor kunnen de aanvallers zelfs multi-factor authenticatie (MFA) ondermijnen; Zodra de gebruiker zijn MFA heeft voltooid, wordt een sessietoken meestal opgeslagen in hun browser. Zoals onderzoekers van Google -dochter Mandiant hebben opgemerkt, als het token zelf kan worden gestolen, doet MFA er niet langer toe:
“Het stelen van dit sessie -token is het equivalent van het stelen van de geverifieerde sessie, wat betekent dat een tegenstander niet langer de MFA -uitdaging zou moeten uitvoeren.” Dit maakt de tokens een nuttig doelwit voor beide Red Team -operators – die de verdediging van een systeem testen – en zorgwekkender, echte tegenstanders.
Door een BITM -framework te gebruiken bij het richten van geverifieerde sessietokens, genieten aanvallers van de voordelen van een snelle targetingcapaciteit, omdat ze in slechts enkele seconden elke website kunnen bereiken met weinig behoefte aan configuratie, merkt Mandiant op. Wanneer een aanvraag is gericht, wordt de legitieme site geserveerd via de door aanvallers gecontroleerde browser, waardoor het voor het slachtoffer extreem moeilijk is om het verschil te vertellen tussen een echte site en zijn nep-tegenhanger.
Cookies of oauth -tokens worden net voor codering weggerukt, terwijl snelle exfiltratie betekent dat de gestolen tokens in seconden kunnen worden doorgegeven aan aanvallersservers.
Mitigatiestrategieën
Deze geavanceerde aanvallen kunnen aanzienlijke schade veroorzaken, maar er zijn manieren om de gevolgen te vermijden of te beperken. Op het breedste niveau moeten gebruikers altijd extreme zorg ondernemen boven de links die ze openen, misschien een voorbeeld van de site voordat ze daadwerkelijk op alle links klikken. Hier zijn enkele andere opties:
Wachtwoorden in een nieuw tijdperk
De conclusie is deprimerend duidelijk: BITM -aanvallen kunnen traditionele beveiligingsbenaderingen omzeilen, waardoor criminelen zelfs in staat stellen gebruikersnamen en wachtwoorden te onderscheppen. Dus maakt dit wachtwoorden niet relevant?
Het antwoord is een volmondig ‘nee’. Door multi-factor authenticatie (MFA) in te stellen-inclusief robuuste wachtwoorden-maakt u het leven nog steeds moeilijker voor cybercriminelen, vooral als ze het sessie-token niet meteen vastleggen.
Zelfs als aanvallers verfijnder worden, moet je de basis in de gaten houden. Wachtwoorden blijven een essentieel onderdeel van MFA – voor de meeste organisaties blijven ze waarschijnlijk de eerste verdedigingslinie. Frustreer cybercriminelen door uw wachtwoorden te beschermen, ongeacht hoe ze aanvallen.
Het wachtwoordbeleid van specopen zorgt ervoor dat uw Active Directory -wachtwoorden te allen tijde op de hoogte zijn. U kunt een sterker wachtwoordbeleid afdwingen, terwijl u ook continu uw actieve directory scant voor meer dan 4 miljard gecompromitteerde wachtwoorden. Gecombineerd met effectieve MFA zoals SPECOPS Secure Access, beschermt u uw eindgebruikers in zowel de stappen van het wachtwoord als in aanmelding. Hulp nodig bij MFA of wachtwoordbeveiliging? Neem contact op met een praatje.
