Annonce

Réduire
Aucune annonce.

Man-in-the-browser

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Man-in-the-browser



    Tout le monde connait le fameux MITM (man of the middle) qui permet a un attaquant de se mettre au travers des communications réseau entre deux PC ou services et ainsi de sniffer les données.

    Différemment d’un MITM l’attaque va utiliser un levier sous base d’un cheval de Troie qui utilisera une déficience de votre navigateur.
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
    En MITB, le pirate va agir sur un navigateur Web en prenant avantage sur des vulnérabilités dans la sécurité du navigateur pour modifier les pages Web, modifier le contenu de la transaction ou insérer des transactions supplémentaires, le tout dans un mode complètement cachée invisible pour l'utilisateur et l’hôte application web.
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
    Alors que tous types de cybercrime ont augmenté, il y a eu une augmentation très nette de la fraude financière en raison d'ordinateurs infectés par des "Malwares". Les malwares visent généralement les ordinateurs de bureau et s'appuient sur des techniques de social engineering (basé sur la confiance et les relations sociales) pour inciter les utilisateurs ne soupçonnant rien à télécharger et installer des codes malveillants sur leurs ordinateurs.


    L'un des types les plus dangereux de malware pour les services de banque et services financiers en ligne est l'attaque MAN-IN-THE-BROWSER (homme dans le navigateur).
    Une attaque Man-In-The-Browser se produit lorsqu'un code malveillant infecte un navigateur internet. Le code modifie les actions exécutée par l'utilisation de l'ordinateur et, dans certains cas, peux déclencher des actions indépendamment de l'utilisateur. Par exemple : lorsqu'un utilisateur se connecte à son compte bancaire, l'utilisation d'un navigateur internet infecté est suffisante pour déclencher des transactions illicites entraînant des vols en ligne.

    Comment sont infectés les PC lors d’une MITB ?

    • L’utilisation intensive de technique d’arnaque et de supercherie est utilisée comme le social engineering (SE), le Phishing et Spear-phishing.
    • Les vulnérabilités du navigateur
    • Les extensions navigateurs sont les plus utilisées.
    • Les mises à jour…


    Dans la deuxième phase de l'attaque, l'utilisateur lance son navigateur. Le Trojan est automatiquement et silencieusement activé, de manière transparente il va effectuer le stockage ou relayer activement les activités de l'utilisateur non modifiés entre le navigateur et l'Internet, ceci tout à l'insu de utilisateur.

    Le cheval de Troie est capable de reconnaître lorsque l'utilisateur visite un site en ligne surtout les sites bancaires pour effectuer leurs opérations financières (les chevaux de Troie sont codés à surveiller ce genre de transaction). Une fois que l'utilisateur a réussi a s'authentifier, même avec une forte authentification comme un jeton OTP, le cheval de Troie peut affecter l'utilisateur sur ses privilèges, ce qui lui permet de modifier les détails de la transaction et de lancer une nouvelle transaction sans que l'utilisateur ou que la banque le constate. De toute évidence, cela peut entraîner la redirection des fonds de l'utilisateur vers des comptes sous le contrôle du criminel, soit directement, soit par l'intermédiaire de comptes de mule annexe (piraté ou consentant) sous la coupelle du pirate.

    Le virus a été codé de façon à ce que la cible ou l’URL souhaité soit intercepté puis renvoyer vers le pirate. Nombre de familles de trojans (chevaux de Troie) sont utilisées pour mener des attaques MITB, on peut citer notamment Zeus/SpyEye, URLzone, Silent Banker, Sinowal et Gozi.


    EX : http://www.mabanue.com/accounts/transfer.jsp Le virus réagis sur la lecture via le navigateur de cette URL et envois les données au pirate.
    Beaucoup de Trojan ont eu leurs heures de gloires tout comme le célébrissime ZEUS et plus récemment Retefe : https://www.ebankingabersicher.ch/fr...ancaire-retefe. ou encore Dyreza : https://securelist.fr/infos/58627/le...rotection-ssl/
    La Team Hacking avait défrayé la chronique avec leurs techniques d’investigations basées sur un kit exploit secret utilisant des Zéros Day afin d’infiltrer les navigateurs entre autres et extraire des données de ces cibles.

    Mesures de sécurité

    Bien que les malwares soient de plus en plus présents, la bonne nouvelle est que les institutions financières peuvent prendre des mesures concrètes pour atténuer le risque des attaques Man-in-the-Browser. Voici ci-dessous quelques mesures de sécurité que les banques peuvent mettre en œuvre dès aujourd’hui pour protéger leurs clients, maintenir leur réputation et diminuer les pertes monétaires :


    Authentification et vérification de transaction Out-of-Band (OOB) (hors bande): Avec l’authentification et la vérification de transaction OOB, on doit utiliser un canal différent du canal utilisé par le PC et le navigateur du client pour délivrer les données de confirmation de transaction et le code de passe nécessaire pour valider une transaction. Avec l’authentification OOB, on transmet généralement un code via SMS ainsi que les détails de la transaction sur le téléphone mobile de l’utilisateur, et ce dernier peut confirmer que les détails de transaction sont corrects.


    Lorsqu’une transaction en ligne est déclenchée via le compte du client, la banque envoie un SMS contenant un code et les détails de la transaction sur le téléphone mobile du client. Une fois que le client a accusé réception de la transaction en entrant un mot de passe utilisable une seule fois sur le portail bancaire en ligne, la transaction peut avoir lieu. Bien que l’authentification SMS n’empêche pas les malwares d’infecter les navigateurs, elle utilise un canal sécurisé de communication pour alerter les clients de la banque qu’une activité a eu lieu sur leur compte bancaire. Si des clients reçoivent une alerte SMS indiquant qu’une transaction en ligne a eu lieu, soit ils approuveront la transaction, soit ils informeront la banque que l’activité n’a pas été déclenchée par eux.


    Authentification à base de certificat associée à un navigateur sécurisé : Une autre manière de se protéger contre les attaques Man-in-the-Browser consiste à utiliser une authentification forte à base de certificat, associée à un environnement navigateur sécurisé par des mesures supplémentaires l’empêchant d’être infecté par des malwares. Par exemple, en utilisant un navigateur portable mémorisé sur un token d‘authentification USB, la probabilité d’infection du navigateur par un malware est réduite. Dans ce cas, lorsqu’il vient en ligne, l’utilisateur commence à s’authentifier lui-même puis il charge le navigateur “propre” directement à partir du token. Le navigateur sécurisé peut être préconfiguré pour ouvrir un site Internet particulier et il peut bloquer toute tentative de naviguer sur d’autres sites non désignés.

    Les navigateurs sécurisés constituent une mesure de sécurité préventive contre les malwares. Comme le navigateur est mémorisé sur une mémoire flash externe et est protégé par une coque sécurisée, il est isolé des interactions régulières en ligne et n’est donc pas exposé aux malwares.

    Conclusion
    Il est estimé que 80 à 90% des machines dans le monde sont infectées par au moins 1 virus (Mac et Unix ne sont pas épargnés).
    On estime de 5 à 15 minutes le temps de survie moyen d'un PC non-protégé sur internet (temps sans être infecté). C'est pourquoi quand on installe une nouvelle machine il est primordial d'installer un firewall avant de brancher le câble réseau.

    Merci de m’avoir lu

    Source :
    https://en.wikipedia.org/wiki/Man-in-the-browser
    http://securityaffairs.co
    https://www.owasp.org/index.php/Man-...browser_attack
    Cours Ecole d’informatique sup
    Dernière modification par DreAmuS, 04 juillet 2016, 07h54. Motif: Orthographe

  • #2
    Merci pour l'article
    Pour résumer : l'auteur de cette attaque cache certains données d'une page web à l'utilisateur ?

    Commentaire


    • #3
      L'attaque Man-in-the-Browser est la même approche que l'attaque Man-in-the-middle, mais dans ce cas, un cheval de Troie est utilisé pour intercepter et manipuler les appels entre l'exécutable de l'application principale (ex: le navigateur) et son mécanismes de sécurité ou bibliothèques à la volée.

      L'objectif le plus courant de cette attaque est de provoquer une fraude financière en manipulant les transactions des systèmes bancaires par Internet, même lorsque d'autres facteurs d'authentification sont utilisés: https://github.com/649/Chrome-Sandbox-Exploit

      Commentaire

      Chargement...
      X