И вновь мы получили патент на метод противодействия уловкам финансовых кибермошенников. На этот раз речь идет о технологии, позволяющей выявлять внедрение HTML-кода в страницу, открытую браузером клиента (man-in-the-browser attack). Принцип работы технологии основан на использовании специальных «проверочных» веб-страничек, в которые встроен HTML-код, провоцирующий вредоносные программы на проявление своих функций.
Суть в следующем: создатели финансового вредоносного ПО часто «затачивают» свой код под конкретные банки. Когда клиент пытается открыть сайт банка, зловред выявляет обращение и вносит изменения в отображающуюся в браузере страницу на этапе ее загрузки. В результате он модифицирует внешний вид различных элементов веб-страниц (в первую очередь — поля ввода), похищает вводимые аутентификационные данные или меняет номера счетов, на которые перенаправляются переводимые пользователем средства.
Разумеется, попытка внедрения HTML-кода в страницу с высокой вероятностью говорит о том, что устройство пользователя заражено. Выявив такую попытку, банк может вовремя заблокировать транзакцию и защитить средства своего клиента от кражи. А учитывая тот факт, что технология man-in-the-browser реализована практически в каждом семействе банковских троянцев, ее наличие можно было бы использовать как верный индикатор заражения в решении, защищающем онлайн-банкинг. Однако не все так просто. Что, если устройство заражено, но зловред заточен под другой банк? В этом случае он не попытается внести изменения в страницу и не проявит себя.
#MitB реализован практически в каждом семействе #банкеров — его можно использовать как верный индикатор угрозы
Tweet
Казалось бы, ну и что? Это же проблемы другого банка? Но думать так было бы ошибкой. Большинство финансовых троянцев используют сразу несколько инструментов для похищения банковских учетных данных. Может быть, он и не изменяет отображаемую страницу, но при этом записывает все нажатия клавиш пользователя. Так что клиент все равно подвергается риску.
Поэтому мы решили создать своего рода ловушку — банковскую страничку, которая имеет характерные признаки сайтов множества различных финансовых организаций (фрагменты HTML-кода, характерные для веб-страниц банков и платежных систем). Если такой сайт будет открыт с зараженного устройства, то использующий метод man-in-the-browser зловред примет его за сайт знакомого банка и попробует внести изменения. Которые незамедлительно будут обнаружены нашей системой.
Эта технология уже активно используется в нашем решении Kaspersky Clientless Engine, которое служит для защиты клиентских счетов от атак через зараженные устройства пользователей. Подробнее о Kaspersky Clientless Engine и о платформе Kaspersky Fraud Prevention, частью которой он является, можно узнать вот здесь.