マンインザブラウザ攻撃とは-予防と検出

一般にMitB(MitB)と呼ばれるManInthe Browser(Man In The Browser)攻撃は、サイバー犯罪者が使用できる最も危険なタイプの攻撃の1つです。この方法では、トロイの木馬(Trojan Horse)または同様のマルウェアを使用して、Webサイトのユーザーから重要な情報、特に銀行やクレジットカードの情報を取得します。これは、アクセスしているWebページにさまざまな入力フィールドを変更および追加するコードの一部です。URLは変更されていないので、サイトにはその情報が必要であると考え、入力するだけです。

マンインザブラウザ攻撃

マンインザブラウザ攻撃の説明

有用な情報を得るためにパケットをリッスンする2つのエンドポイントの間にサードパーティが存在するManInthe Middle Attack(Man In The Middle Attack)とは異なり、 MitB攻撃(MitB attack)は、アクセスしているWebサイトに入力フィールドを変更および追加することを目的としています。トロイの木馬(Trojan Horse)のようなマルウェアは、コンピューターとサイトサーバーの間にあります。そのマルウェアを使用して、さまざまな入力フィールドがWebサイトに追加され、機密情報を要求します。

場合によっては、それは単なるページではなく、本物であると確信できるように配置された一連のWebページ全体です。IPアドレスを読み取るマルウェアに基づいているため、ウェブマスターには問題ないように見えます。疑わしい場合は、スクリーンショットを撮り、確認のためにウェブマスターに送信してください。あなたの銀行のウェブサイトが突然クレジットカードによる確認を求め始めたとき、あなたは疑念を抱くかもしれません。

たとえば、ほとんどの銀行のWebサイトでは、ログインにIDとPINOTP)が必要です。さらにパスワードを使用する場合もあります。ただし、クレジットカード番号、 PIN(PIN)CSVコードなどを尋ねるなど、それ以上のことは、頭の中でアラームを鳴らす必要があります。その場合は、すぐに停止し、スクリーンショットを撮り、銀行に送信して、本当にそのデータが必要かどうかを尋ねます。

これは通常のフィッシングとは異なることに注意してください。フィッシングの際には、必要な情報を提供するようにフックまたはソーシャルエンジニアリングを試みるメールが送信されます。Man in the Browser攻撃では、サイバー犯罪者が入力フィールドを本物のように見せます。侵害された後でもURLは同じであるため、これらは真実に見えます。時々、彼らはあなたのセキュリティを強化したいと言うだけなので、あなたは彼らに必要な(追加の、個人的な)情報を提供する必要があります。

MitBはどのように実装されていますか

Man In the Browser攻撃は、(Browser)インターネット上(Internet)の宛先を知るためにマルウェアに依存しています。次に、追加の入力フィールドのコードを作成し、アクセスしたWebサイトページに配置します。マルウェアが入ってくる場所でコンピュータがクリーンかどうか疑問に思うかもしれません。答えは、ブラウザの拡張機能、パッチ(偽物)、およびDOMオブジェクトにあります。つまり、ブラウザは何らかの方法を使用して侵害され、使用しているアンチウイルスに捕らえられません。これが、MitB攻撃の検出を複雑にしている理由です。

(Protection)マン(Man)インザブラウザ(Browser)攻撃に対する保護

最新のOSと優れた更新されたセキュリティソフトウェアを使用することを除けば、この記事を書いている時点での保護は常識です。あなたはインターネット上(Internet)で注意しなければなり(be careful)ません。実生活では誰にも簡単にクレジットカードや社会保障情報を提供しないのに、なぜオンラインの世界でそれを行う必要があるのでしょうか。あなたを記録している間、または登録時に、すべての情報が何を求めているかを探し続けてください。何かが足りない場合は、終了して、ウェブマスターに通知してください。ブラウザを閉じて新しいセッションを開始し、同じフィールドが再び表示されるかどうかを確認することもできます。

上記以外にも、Man In The Browser攻撃を防ぐために、拡張機能などをチェックする必要があります。評判の良い拡張機能のみを使用し、最小限の拡張機能を使用するようにしてください(Use)それでも何か怪しいものを見つけた場合は、そのウェブサイトのウェブマスターに連絡してください。



About the author

私は、Windows 11 または 10 アプリケーションの開発と保守に 10 年以上の経験を持つソフトウェア エンジニアです。また、Google ドキュメントと Microsoft Edge の使用経験もあります。これらの分野での私のスキルは、将来のソフトウェア エンジニアリングの役割の優れた候補者になります。



Related posts