Aké sú najčastejšie formy útokov cez prehliadač?

formy útokov cez prehliadač

Internetové prehliadače obsahujú obrovské množstvo citlivých informácií. Od hesiel cez údaje o kreditných kartách až po dáta, ktoré po sebe zanechávame v online priestore. Preto nie je prekvapením, že aj prehliadače môžu byť zneužité na šírenie malvérovej infekcie. Najčastejšie sa môžeme stretnúť s pokusmi o útok technikami sociálneho inžinierstva, phishingom alebo prostredníctvom malvéru. Vybrané z nich opisujeme v tomto článku.

Ako si cez prehliadač môžete stiahnuť malvér?

Existuje niekoľko možností, ako si používateľ môže nainštalovať do prehliadača škodlivé rozšírenie:

  • pod nátlakom útočníka prostredníctvom techník sociálneho inžinierstva
  • z nevedomosti, ak rozšírenie predstiera zaujímavú funkciu, prípadne je dostupné bezplatne, no v skutočnosti obsahuje malvér

Pri útoku man-in-the-browser alebo inak povedané „útočník v prehliadači“ už bolo zariadenie obete infikované škodlivým kódom, ktorý umožňuje prístup do zraniteľného prehliadača. Tento malvér odchytáva údaje, ktoré zadávate na webovej stránke, ako číslo kreditky, prihlasovacie meno a heslo alebo stránku upravuje podľa zadania útočníka, ktorému posiela informácie. Obeť netuší o prítomnosti malvéru, pretože prehliadač aj stránky väčšinou reagujú normálne.

Získajte aktuálne informácie o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

Pri tomto útoku si používateľ infikuje zariadenie bez akejkoľvek aktivity na nebezpečnej stránke. Dôvodom môžu byť zraniteľnosti, ktoré neboli napravené a ktoré sa môžu vyskytnúť v zastaranom operačnom systéme, v prehliadači či aplikácii. Po návšteve takejto škodlivej stránky alebo legitímnej stránky, ktorá mohla byť napadnutá, sa malvér sám stiahne a nainštaluje do zariadenia. Jednou z metód je napríklad vloženie JavaScriptu, ktorý po otvorení stránky automaticky otvorí súbor na stiahnutie.

Zo začiatku väčšina druhov škodlivého kódu zameraného na ťaženie kryptomeny fungovala na báze súboru, ktorý sa stiahol a spustil na cieľových zariadeniach. V poslednej dobe sa výrazne rozšírila iná forma takéhoto malvéru – webové ťaženie kryptomeny v rámci spusteného prehliadača použitím jednoduchého JavaScriptu. Táto metóda, označovaná ako cryptojacking, umožňuje vykonávať tú istú škodlivú aktivitu priamo v prehliadači obete, teda bez inštalácie akéhokoľvek softvéru do zariadenia.

ESET Internet Security banner

Po návšteve konkrétnej webovej stránky, na ktorú bol umiestnený JavaScript kód určený na ťažbu kryptomeny, môžu obete pozorovať viditeľne znížený výkon zariadenia alebo jeho prehrievanie. Na zariadeniach so systémom Android môže zvýšená záťaž dokonca viesť k „nafúknutiu“ batérie a tým k fyzickému poškodeniu alebo zničeniu zariadenia. Vo väčšine prípadov stačí zatvoriť okno prehliadača, respektíve celý prehliadač (vrátane procesu v Task Manageri), aby obeť ťažbu ukončila.

Sociálne inžinierstvo v prípade útokov cez prehliadač

Sociálne inžinierstvo je spôsob manipulácie ľudí s cieľom získať od nich citlivé informácie alebo prinútiť ich k požadovanému úkonu. Keďže si táto technika nevyžaduje žiadnu odbornú zručnosť zo strany útočníka, môže sa o ňu pokúsiť v podstate každý.

Ako teda vyzerá sociálne inžinierstvo v prípade útokov cez prehliadač? Útočníci sa vás pokúsia nalákať na nebezpečnú a falošnú webovú stránku, ktorá však nevyzerá podozrivo. Práve naopak. Nápadne sa podobá na web vašej banky či inej bežne dostupnej online služby narábajúcej s vašimi osobnými údajmi. Na tejto stránke útočník od vás požaduje citlivé informácie alebo vás pod nátlakom prinúti inštalovať škodlivú aplikáciu či malvér. Podobné útoky sa šíria prostredníctvom phishingových e-mailov, falošnej reklamy, príspevkov na sociálnej sieti alebo cez správy v čete.

Ďalšie hrozby, ktoré sa šíria prostredníctvom škodlivých stránok

Scareware je softvér, ktorý využíva zastrašujúce techniky s cieľom zmanipulovať obete k inštalácii škodlivého kódu na ich zariadenia. Zvyčajne požaduje platby za nejaký „nefunkčný“ softvér. Typickým príkladom je falošný antivírusový produkt navrhnutý tak, aby používateľov oklamal, že ich zariadenia sú ohrozené. Ak chcú problém odstrániť, musia si nainštalovať konkrétny, zvyčajne škodlivý, softvér.

Podvodné stránky často obsahujú škodlivé odkazy, falošné aplikácie či súbory. Do zariadenia si ich stiahnete v domnení, že ide o legitímny obsah. Pri vyskakovacích oknách či reklamách útočníci lákajú na dobre znejúce, často až šokujúce správy, na ktoré používatelia kliknú zo zvedavosti a neúmyselne si tak do zariadenia stiahnu malvér.

Menej známym, ale za to veľmi účinným podvodom je clickjacking. Na takejto škodlivej stránke útočníci používajú niekoľko priehľadných vrstiev, v ktorých je umiestnený neviditeľný alebo maskovaný prvok. Ak si napríklad na takejto stránke chcete prehrať video, po kliknutí na tlačidlo „play“ si okrem spustenia prehrávania môžete automaticky stiahnuť do zariadenia malvér. Známa je aj forma tzv. cursorjacking, teda techniky úpravy používateľského rozhrania, ktorá zmení reálne umiestnenie kurzora. Používateľ si napríklad myslí, že kliká na odkaz v jednej časti monitora, v skutočnosti však kliká na škodlivý odkaz inde.

Ako predchádzať takýmto útokom?

Ak chcete vaše zariadenia a údaje ochrániť pred útočníkmi, dodržiavajte nasledovné tipy:

  • Zapnite vo vašom prehliadači možnosť „safe browsing“.
  • Zablokujte automatické otváranie pop-up okien.
  • Pravidelne aktualizujte váš operačný systém, prehliadač a pluginy.
  • Pravidelne vymazávajte súbory cookie.
  • Odporúčame používať VPN pripojenie.
  • Zabezpečte zariadenia bezpečnostným softvérom.
  • Neklikajte na odkazy v četovacích správach od neznámych ľudí.
  • Nereagujte na nevyžiadané správy, ktoré od vás požadujú citlivé informácie. Žiadna legitímna služba ani organizácia by si ich od klientov proaktívne nemala žiadať.
  • Pred zadaním citlivých informácií na akúkoľvek stránku si overte jej legitímnosť.
  • Neotvárajte prílohy a neklikajte na skrátené odkazy v podozrivých e-mailoch. Pravosť si radšej overte priamo na zákazníckej linke odosielateľa e-mailu (banka, streamovacia služba a i.).


Autor: ESET tím