Apakah Anda mengharapkan pengguna akhir untuk masuk ke komputer penjahat cyber, membuka browser mereka, dan mengetikkan nama pengguna dan kata sandi mereka? Semoga tidak! Tapi pada dasarnya itulah yang terjadi jika mereka menjadi korban serangan browser-in-the-middle (bitm).
Seperti serangan man-in-the-middle (MITM), Bitm melihat penjahat terlihat untuk mengendalikan aliran data antara komputer korban dan layanan target, karena peneliti Universitas Salento Franco Tommasi, Christian Catalano, dan Ivan Taurino telah diuraikan dalam sebuah makalah untuk Jurnal Internasional Keamanan Informasi. Namun, ada beberapa perbedaan utama.
Man-in-the-middle vs browser-in-the-middle
Serangan MITM menggunakan server proxy yang menempatkan dirinya di antara browser korban dan layanan target yang sah di lapisan aplikasi. Perlu semacam malware untuk ditempatkan dan dijalankan di komputer korban.
Tapi serangan bitm berbeda. Sebaliknya, korban berpikir mereka menggunakan browser mereka sendiri – melakukan perbankan online normal mereka, misalnya – ketika mereka benar -benar menjalankan browser jarak jauh yang transparan.
Seperti yang dicatat kertas, seolah -olah pengguna “duduk di depan komputer penyerang, menggunakan keyboard penyerang”, yang berarti penyerang dapat menangkap, merekam, dan mengubah pertukaran data antara korban dan layanan yang mereka akses.
Anatomi serangan bitm
Jadi bagaimana cara kerjanya? Serangan bitm yang khas terjadi dalam tiga fase:
- Phishing: Korban tertipu untuk mengklik hyperlink berbahaya yang menunjuk ke server penyerang dan mengotentikasi aplikasi web mereka.
- Browser palsu: Korban terhubung ke server penyerang dan ke browser web transparan melalui penyisipan javascript berbahaya. Serangan itu akan memanfaatkan program -program seperti Keyloggers untuk memberdayakan para penjahat untuk mencegat dan memanfaatkan data korban.
- Menargetkan aplikasi web: Korban menggunakan semua layanan mereka yang biasa secara online, tanpa menyadari bahwa mereka menggunakan browser transparan. Kredensial mereka sekarang terpapar dengan penjahat.
Token sesi
Serangan itu bekerja dengan menargetkan token sesi. Ini memungkinkan para penyerang untuk menumbangkan bahkan otentikasi multi-faktor (MFA); Setelah pengguna menyelesaikan MFA mereka, token sesi biasanya disimpan di browser mereka. Seperti yang dicatat oleh para peneliti dari anak perusahaan Google, jika token itu sendiri dapat dicuri, maka MFA tidak lagi penting:
“Mencuri token sesi ini adalah setara dengan mencuri sesi yang diautentikasi, yang berarti musuh tidak perlu lagi melakukan tantangan MFA.” Ini membuat token menjadi target yang berguna untuk kedua operator tim merah – yang menguji pertahanan sistem – dan lebih mengkhawatirkan, musuh asli.
Dengan menggunakan kerangka kerja BITM dalam menargetkan token sesi yang diautentikasi, penyerang menikmati manfaat dari kemampuan penargetan yang cepat, karena mereka dapat mencapai situs web apa pun hanya dalam beberapa detik dengan sedikit kebutuhan untuk konfigurasi, catatan Mandiant. Ketika sebuah aplikasi ditargetkan, situs yang sah dilayani melalui browser yang dikendalikan penyerang, sehingga sangat sulit bagi korban untuk membedakan antara situs nyata dan rekan palsu.
Kue atau token oauth disambar tepat sebelum enkripsi, sementara eksfiltrasi cepat berarti token yang dicuri dapat disampaikan ke server penyerang dalam hitungan detik.
Strategi mitigasi
Serangan canggih ini dapat menyebabkan kerusakan yang signifikan, tetapi ada cara untuk menghindari atau mengurangi konsekuensinya. Di level terluas, pengguna harus selalu sangat berhati -hati terhadap tautan yang mereka akses, mungkin mempratinjau situs sebelum benar -benar mengklik tautan apa pun. Berikut beberapa opsi lain:
Kata sandi di era baru
Kesimpulannya sangat jelas: serangan bitm dapat menghindari pendekatan keamanan tradisional, bahkan memungkinkan penjahat untuk mencegat nama pengguna dan kata sandi. Jadi apakah ini membuat kata sandi tidak relevan?
Jawabannya adalah 'tidak'. Dengan melembagakan otentikasi multi-faktor (MFA)-termasuk kata sandi yang kuat-Anda masih membuat hidup lebih sulit bagi penjahat cyber, terutama jika mereka gagal menangkap token sesi segera.
Bahkan ketika penyerang menjadi lebih canggih, Anda perlu mengawasi dasar -dasarnya. Kata sandi tetap menjadi komponen penting dari MFA – pada kenyataannya, bagi sebagian besar organisasi, mereka kemungkinan tetap menjadi lini pertahanan pertama. Frustrasi penjahat cyber dengan melindungi kata sandi Anda, tidak peduli bagaimana mereka menyerang.
Kebijakan Kata Sandi SpecOps memastikan kata sandi Direktori Aktif Anda siap untuk menggaruk setiap saat. Anda dapat menegakkan kebijakan kata sandi yang lebih kuat sambil terus memindai Direktori Aktif Anda untuk lebih dari 4 miliar kata sandi yang dikompromikan. Dikombinasikan dengan MFA yang efektif seperti SpecOps Secure Access, Anda akan melindungi pengguna akhir Anda di kedua langkah kata sandi dan logon. Butuh bantuan dengan keamanan MFA atau kata sandi? Jangkau obrolan.
