Загадка Черного Квадрата

Это не «Черный квадрат» Малевича. Примерно так выглядит скриншот, сделанный подозрительным приложением на компьютере, защищенном нашими продуктами.

Кто догадается, что это такое? Нет, это не испорченный вандалами «Черный квадрат» Малевича.

Примерно так (но без намекающего «вотермарка») выглядит заблокированный скриншот экрана, снятый подозрительным приложением на компьютере, защищенном нашими продуктами (например, Kaspersky Total Security). Как так? Почему? Зачем? А вот зачем…

Киберпреступники, кибервоенщина, кибергопота и прочие кибернегодяи очень, ОЧЕНЬ охочи до получения доступа к пользовательским учеткам. У всех своя мотивация (деньги, шпионаж, геростратова мания величия, слежка за партнерами, конкурентами, супругами и т. д.), но цель одна, и ее пытаются достичь разными путями. Один из таких путей — делать скриншоты экрана во время заполнения формы для регистрации/входа в учетную запись.

Внимательный читатель логично спросит: зачем малваре делать скриншоты экрана, если сайты и программы все равно закрывают поле с вводимым паролем точками?

Ответ прост: есть множество нюансов, которые переводят исключение в ранг правила.

На самом деле, часто пользователю предоставляется возможность увидеть вводимый пароль (помните флажок «показать мой пароль» рядом с формой?). Многие сервисы для повышения юзабилити временно показывают последние символы пароля. Или закрывают пароль точками только при переходе на следующее поле. А некоторые вообще не используют точки, а вместо этого форматируют пароль до малочитабельного состояния, чтобы никто не подсмотрел из-за спины (ха!).

Наконец, есть разные пограничные лайфхаки и инструменты (вроде pwdcrack), которые позволяют злоумышленникам отключить «точки-невидимки». В общем, вероятность вывода пароля на экран далеко не нулевая, да и подсмотреть его нехитрыми программными методами тоже проще простого.

Важно: угроза подглядывания пароля из-за спины/записи на камеру наблюдения (с чем борются юзабилити-методы квазибезопасности, описанные абзацем выше) ничтожно мала по сравнению с угрозой считывания пароля малварой через скриншоты экрана.

Эта функция есть у самого, пожалуй, известного банковского трояна Zeus и его многочисленных клонов. Один из этих клонов, именуемый KINS, проводит специфическую атаку для получения снимков области вокруг… клика мышки! То есть даже если на сайте банка используется виртуальная клавиатура для ввода пароля или одноразовых кодов, зловред все равно сможет считать вводимые символы.

Кроме того, пароли — это ведь далеко не единственное, что может интересовать злоумышленников! А как насчет реквизитов пластиковой карты, вводимых при онлайн-покупке? А проверочные вопросы для восстановления доступа к аккаунту? Личные данные? Переписка в мессенджерах? Много всего разного!

Увы, экран — кладезь наших тайн и секретов, которые ни разу не для посторонних глаз и скриншотов. И ведь далеко не все пользуются «Безопасными платежами» или «Безопасным вводом», чтобы спрятать «чувствительные» данные. Но и эти функции — необходимая, но недостаточная защита. У кибернегодяев остается лазейка — украсть данные через скриншот окна.

Для защиты пользователей от этой угрозы в наших продуктах есть специальная технология (патент RU2634168). Она перехватывает API-функции, которые позволяют приложениям снять изображение на экране. И вот что происходит дальше:

  • Продукт определяет, какие приложения в получаемой области экрана имеют свои окна.
  • По данным разных компонентов и подсистем (например, SystemWatcher и SafeBanking) продукт вычисляет критичность этих окон с точки зрения наличия там конфиденциальных/личных данных.
  • Продукт анализирует рейтинг доверенности приложений, получающих доступ к экрану.
  • Продукт принимает решение — блокировать скриншот или нет. Черный квадрат или не черный квадрат.

Ну и the last but not the least: технология защиты экрана от скриншотов помогает в обнаружении неизвестных кибератак. Подозрительная активность приложений, проявляющих повышенный интерес к чужим окнам, снижает их (приложений) рейтинг и приближает к проактивному детекту машинным обучением через KSN или к ручному анализу экспертом. Вот так, по капельке, мировым усилием и натренированным кибермозгом мы все вместе снижаем градус напряженности в Интернете на благо каждого.

Советы