有没有办法 delete/get 摆脱浏览器中间人感染?
Is there a way to delete/get rid of a Man-In-the-Browser infection?
我在浏览器中浏览有关 MItB 的文章,但仍然找不到摆脱 MItB 感染的技术方法。因此,我想知道:是否有这种方法可以从技术上删除 MItB 攻击?如果您通过浏览器在计算机或移动设备上单击受感染的 link,触发 MItB 并感染您的网络浏览器,您能否通过重新安装浏览器来消除漏洞,无论是在您的 phone还是电脑?更重要的是,MItB 对计算机和 phones 有什么影响吗?
浏览器中的人 (mitb) 是一种恶劣的攻击,因为 "traditional" 安全机制对付它不是很有效。这是木马的典型示例,因为 "enemy" 在您的城墙(安全层)后面。加密无济于事,因为攻击者正在访问的数据已经解密。因此攻击者有机会在用户不知情的情况下注入脚本、修改交易、收集个人数据等。从用户的 POV 来看,一切都很好。在损坏完成之前,他们不会注意到任何问题。
您重装浏览器的想法不太可能奏效。木马可以在重新安装后存活下来,因为它不是浏览器本身的一部分。它要么是扩展(或 "browser helper object")、恶意 JavaScript,要么是干扰浏览器 API 调用的外部程序。
此外,防病毒软件和其他反恶意软件的主动检测和缓解措施也不是很成功。杀毒软件会检测到一些木马,但检测率很低。特洛伊木马的设计旨在避免检测。
您经常听到的一种方法是双因素身份验证或带外交易验证。最常见的是将代码发送到用户的 phone 或电子邮件。在某些系统中,此代码还将包含有关正在验证的特定交易的信息。这里的想法是 phone 或其他通信通道不会受到木马的影响,因此应该不会受到干扰。但老实说,我真的不认为这是 100% 安全的。您仍然会有用户忽略消息中的任何警告标志,只是盲目地继续在他们的浏览器中输入验证码,因为他们 1) 无知 2) 匆忙,或两者兼而有之。即便如此,您还是假设带外通信机制没有受到损害。这是一个很大的假设。如果你错了,那么它将完全无效。
另一种方法是回避问题,从服务器端查看用户的行为。如果您可以建立他们 "normal" 行为的模型,那么就有合理的机会识别可疑 activity。什么可疑activity?它可以是任何事情,比如大型交易的突然增加、在会话中间更改 IP 地址以及以 "unnatural" 方式在页面之间导航。当检测到此类行为时,您可以通知用户或采取锁定他们的帐户或拒绝交易等措施。当然,这将仅限于特定服务(例如用户的银行),并且始终存在误报的可能性。它没有解决问题的根源,因为用户的平台仍然会被感染。
现在的防御不是检测而是预防。阻止木马进入。最明显的一个。除非您 100% 信任来源,否则不要下载并打开或执行任何内容。这意味着源应该具有 E2E 加密和可信赖的 SSL (TLS) 证书,最好是扩展验证 (EV)。
还要确保您的 OS 已安装最新的安全补丁。最后,不要使用有已知漏洞的浏览器。即便如此,也要避免使用可疑的浏览器 plugins/extensions。
我在浏览器中浏览有关 MItB 的文章,但仍然找不到摆脱 MItB 感染的技术方法。因此,我想知道:是否有这种方法可以从技术上删除 MItB 攻击?如果您通过浏览器在计算机或移动设备上单击受感染的 link,触发 MItB 并感染您的网络浏览器,您能否通过重新安装浏览器来消除漏洞,无论是在您的 phone还是电脑?更重要的是,MItB 对计算机和 phones 有什么影响吗?
浏览器中的人 (mitb) 是一种恶劣的攻击,因为 "traditional" 安全机制对付它不是很有效。这是木马的典型示例,因为 "enemy" 在您的城墙(安全层)后面。加密无济于事,因为攻击者正在访问的数据已经解密。因此攻击者有机会在用户不知情的情况下注入脚本、修改交易、收集个人数据等。从用户的 POV 来看,一切都很好。在损坏完成之前,他们不会注意到任何问题。
您重装浏览器的想法不太可能奏效。木马可以在重新安装后存活下来,因为它不是浏览器本身的一部分。它要么是扩展(或 "browser helper object")、恶意 JavaScript,要么是干扰浏览器 API 调用的外部程序。
此外,防病毒软件和其他反恶意软件的主动检测和缓解措施也不是很成功。杀毒软件会检测到一些木马,但检测率很低。特洛伊木马的设计旨在避免检测。
您经常听到的一种方法是双因素身份验证或带外交易验证。最常见的是将代码发送到用户的 phone 或电子邮件。在某些系统中,此代码还将包含有关正在验证的特定交易的信息。这里的想法是 phone 或其他通信通道不会受到木马的影响,因此应该不会受到干扰。但老实说,我真的不认为这是 100% 安全的。您仍然会有用户忽略消息中的任何警告标志,只是盲目地继续在他们的浏览器中输入验证码,因为他们 1) 无知 2) 匆忙,或两者兼而有之。即便如此,您还是假设带外通信机制没有受到损害。这是一个很大的假设。如果你错了,那么它将完全无效。
另一种方法是回避问题,从服务器端查看用户的行为。如果您可以建立他们 "normal" 行为的模型,那么就有合理的机会识别可疑 activity。什么可疑activity?它可以是任何事情,比如大型交易的突然增加、在会话中间更改 IP 地址以及以 "unnatural" 方式在页面之间导航。当检测到此类行为时,您可以通知用户或采取锁定他们的帐户或拒绝交易等措施。当然,这将仅限于特定服务(例如用户的银行),并且始终存在误报的可能性。它没有解决问题的根源,因为用户的平台仍然会被感染。
现在的防御不是检测而是预防。阻止木马进入。最明显的一个。除非您 100% 信任来源,否则不要下载并打开或执行任何内容。这意味着源应该具有 E2E 加密和可信赖的 SSL (TLS) 证书,最好是扩展验证 (EV)。
还要确保您的 OS 已安装最新的安全补丁。最后,不要使用有已知漏洞的浏览器。即便如此,也要避免使用可疑的浏览器 plugins/extensions。