Войти
Захват формы - это форма вредоносного ПО, которое работает путем получения авторизации и учетных данных для входа из формы веб-данных перед он передается через Интернет на защищенный сервер. Это позволяет вредоносному ПО избегать HTTPS шифрования. Этот метод более эффективен, чем программное обеспечение кейлоггера, поскольку он получает учетные данные пользователя, даже если они вводятся с помощью виртуальной клавиатуры, автозаполнения или копирования и вставки. Затем он может отсортировать информацию по именам переменных, таким как электронная почта, имя учетной записи и пароль. Кроме того, захват формы регистрирует URL и название веб-сайта, с которого были собраны данные.
Метод был изобретен в 2003 году разработчиком разновидности троянского коня под названием Downloader.Barbew, который пытается загрузить Backdoor. Barbew из Интернета и передать его в локальную систему для выполнения. Однако он не был популяризирован как широко известный тип атаки вредоносным ПО до появления печально известного банковского трояна Zeus в 2007 году. Zeus использовался для кражи банковской информации злоумышленниками. the-browser регистрация нажатий клавиш и захват формы. Как и Zeus, троян Barbew изначально рассылался огромному количеству людей через электронные письма, маскирующиеся под известные банковские компании. Захват формы как метод, впервые реализованный в итерациях Zeus, позволил модулю не только обнаруживать захваченные данные формы, но и определять, насколько полезной была полученная информация. В более поздних версиях захват форм также был связан с веб-сайтом, на котором были отправлены фактические данные, что делало конфиденциальную информацию более уязвимой, чем раньше.
Троян, известный как Tinba (Tiny Banker Trojan ) был создан с захватом формы и способен красть учетные данные онлайн-банкинга и был впервые обнаружен в 2012 году. Другая названная программа была первым программным обеспечением, разработанным для атаки на платформу macOS и может работать на Firefox. Шаблоны веб-инъекций в Weyland-Yutani BOT отличались от существующих, таких как Zeus и SpyEye.
Другая известная версия - нарушение British Airways в сентябре 2018 года. В случае British Airways серверы организаций, по всей видимости, были скомпрометированы напрямую: злоумышленники изменили один из файлов JavaScript (библиотека Modernizr JavaScript, версия 2.6.2), включив в него сценарий ведения журнала PII / кредитной карты, который собирал информацию о платеже и отправлял ее в сервер, управляемый злоумышленником, размещенный в домене «baways [.] com» с сертификатом SSL, выданным центром сертификации «Comodo». Мобильное приложение British Airways также загружает веб-страницу, созданную с использованием тех же компонентов CSS и JavaScript, что и основной веб-сайт, включая вредоносный скрипт, установленный Magecart. Таким образом, пострадали и платежи, совершаемые с помощью мобильного приложения British Airways.
.
В связи с недавним увеличением использования кейлоггеров и захвата форм, антивирусные компании добавляют дополнительную защиту, чтобы противостоять попыткам клавиатурных шпионов и предотвратить сбор паролей. Эти усилия принимали разные формы, в зависимости от антивирусных компаний, таких как safepay, менеджер паролей и другие. Для дальнейшего противодействия захвату форм можно ограничить права пользователей, что не позволит им устанавливать объекты поддержки браузера (BHO) и другое программное обеспечение для захвата форм. Администраторы должны создать список вредоносных серверов для своих брандмауэров.
. Новые меры противодействия, такие как использование внеполосной связи для обхода средств захвата форм и Появляются также "человек в браузере" ; примеры включают FormL3SS. ; те, кто обходит угрозу, используют другой канал связи для отправки конфиденциальных данных на доверенный сервер. Таким образом, информация о взломанном устройстве не вводится. Альтернативные инициативы, такие как Fidelius, используют дополнительное оборудование для защиты ввода / вывода для скомпрометированного или считающегося скомпрометированным устройством.
Интернет-портал Алмаси, Ширван; Ноттенбелт, Уильям (февраль 2020 г.). «Защита пользователей от взломанных браузеров и средств захвата форм». Семинар NDSS по измерениям, атакам и защите в Интернете (MADWeb). 2020 . doi :10.14722/madweb.2020.23016.
