Külön figyelmet érdemel: a támadók igazi célpontja az üzleti adat
Manapság a kiberbűnözők nem feltétlenül magát a böngészőt veszik célba, hanem rajta keresztül a céges alkalmazásokat, felhős szolgáltatásokat és azok minden elérhető adatát. Az elmúlt év nagy adatlopásai – például a Salesforce elleni folyamatos támadássorozat – is bizonyítják, hogy a támadók már nem a belső hálózatokat támadják, hanem az interneten keresztül, a munkavállalók böngészőjén át próbálnak belépni, adatot lementeni, majd zsarolással vagy eladással profitálni belőle.
Jelszólopás új szintre emelve: adathalászat és session-eltérítés
Az egyik legközvetlenebb böngészőalapú támadástípus az adathalászat (phishing), vagyis amikor a támadó valamilyen megtévesztő weboldallal ráveszi az alkalmazottat, hogy adja meg belépési adatait. A korábbi jelszólopás helyett azonban ma már a támadók a felhasználók aktuális böngésző-munkamenetét (session) szerzik meg fordított proxy (Attacker-in-the-Middle, AiTM) technikával, amely képes megkerülni a kétfaktoros azonosítást (MFA) is. Bár néhány újabb megoldás, például a passkey, védettebb, a támadók módszerei is folyamatosan fejlődnek.
Az adathalász támadások ma már tömegesen, automatizált szoftverekkel zajlanak, például dinamikusan módosított (obfuszkált) kód, robotvédelmet biztosító CAPTCHA-rendszerek, vagy hitelesnek látszó felhős tárhelyek segítségével. Mivel ezek a támadások gyakran nem e-mailen, hanem chatalkalmazásokon, közösségi médián, hamis reklámokon vagy SaaS-appok üzenetein keresztül érkeznek, a hagyományos levélszűrők tehetetlenek.
ClickFix és FileFix: trükkös, rosszindulatú kódok másolása
Egy új, sokat emlegetett módszer, amely során az áldozat látszólag egy CAPTCHA-t vagy hibaüzenetet lát, majd utasításra kódot másol a vágólapjáról, amit a műveletsor közben kérnek tőle. Ez a kód valójában kártékony, és ha futtatják, például egy adatlopó (infostealer) vírus kerül a gépre.
A kifinomultabb variációk már nemcsak a Windows futtatás ablakát vagy a PowerShellt használják ki, hanem a File Explorer címsorát is, sőt, újabban más platformokat is támadnak. Ezekben a támadásokban a detektálást nehezíti, hogy az oldalak vizuálisan folyamatosan változnak, miközben a kódok mindig a böngésző vágólap-funkcióját használják ki. A cégek főként a végpontvédelmi rendszerekre támaszkodnak, de a támadók egyre gyakrabban célozzák a dolgozók saját vagy privát eszközeit, amelyek védelme gyenge.
Óvatlan OAuth-integrációk
A támadók sokszor próbálják rávenni a felhasználókat, hogy egy általuk irányított alkalmazáshoz csatlakoztassák vállalati fiókjukat – például egy gyanús Salesforce-integrációhoz. Ha sikerül megfelelő jogosultságokat szerezniük (például az autentikációs kód megadásával), hozzáférhetnek az adatokhoz, még akkor is, ha maga a bejelentkezés egyébként erős MFA-védelemmel rendelkezik. A védekezést nehezíti, hogy a vállalatok gyakran több száz, sokszor nem központilag menedzselt alkalmazást használnak; egyes szolgáltatók, mint a Salesforce, csak most kezdtek szigorítani a saját OAuth-jogosultságaikon.
A böngészőoldali védelmi rendszerek ugyanakkor már akkor képesek jelezni a nem kívánt OAuth-összekapcsolást, amikor az első kérés a böngészőben megtörténik – így adminisztrátori beavatkozás nélkül is könnyen észlelhető a kockázat.
Veszélyes böngészőbővítmények: rejtett adatlopók
A támadók saját, rosszindulatú böngészőbővítményeket fejlesztenek, vagy népszerű, de sérülékeny plugineket hackelnek meg (ilyen történt például tavaly decemberben az egyik ismert bővítménnyel, ahol legalább 35 másik is érintett volt). Ezek a kiegészítők képesek olvasni és módosítani minden meglátogatott weboldalt, ellophatják a cookie-kat, jelszavakat, vagy akár képernyőképeket készítenek.
Egy tipikus dolgozói számítógépre rengeteg plugin települhet fel úgy, hogy arról a vállalatnak nincs tudomása – emiatt a támadási felület jelentős. Egy jól beállított böngészővédelem képes a pluginokat kockázati szint szerint osztályozni, összevetni azokat ismert kártékony bővítményekkel, kiszűrni a csaló másolatokat, és külön figyelmet fordítani az univerzális olvasási/módosítási jogokkal rendelkező pluginekre.
Fájlküldés álcázva: minden letöltés veszélyes lehet
A letölthető állományok – legyen szó futtatható fájlokról, HTML-alkalmazásokról (HTA), vagy SVG-alapú, kliensoldalon futó adathalász (phishing) felületekről – továbbra is a legkedveltebb támadási módszerek közé tartoznak. Ezek a fájlok lehetnek elsődleges káros programok, vagy továbblépési pontok más kompromittált oldalakhoz. Gyakran előfordul, hogy az automatikus vírusirtó nem ismeri fel a fájl rejtett funkcióit, különösen, ha sandbox-kerülő kártevőről van szó.
A böngészőalapú letöltésfigyelő rendszerek ehhez extra védelmi réteget adnak: naplózzák és elemzik a letöltött fájlokat, mielőtt azok az endpointokra kerülnének.
Ellopott jelszavak, gyenge MFA és a “lyukas SSO”
A legtöbb böngészőalapú támadás célja, hogy az áldozattól ellopott hitelesítő adatokkal és munkamenet-információkkal a támadó hozzáférjen olyan céges fiókokhoz, ahol nincs kötelező MFA, vagy ahol a single sign-on (SSO) réseit kihasználva lehet bejutni. Mivel a vállalatok gyakran több száz különböző SaaS-alkalmazást használnak, nagy az esély arra, hogy valamelyik nincs megfelelően bekötve a védelmi rendszerbe, vagy csak egyszerű jelszavas védelmet használ. A böngészőben történő bejelentkezések monitorozása segít az ilyen “szellemloginek”, MFA-hiányosságok vagy veszélyesen gyenge jelszavak azonosításában.
Összefoglalva: minden támadás a böngészőből érkezik – vagy indul tovább
A modern kiberbűnözők fő színtere a böngésző. Ma már szinte minden támadás itt kezdődik, miközben a legtöbb védelmi eszköz ezt a réteget egyelőre vakfoltként kezeli. Az új generációs böngészőalapú védelmi platformok érdemi betekintést és azonnali beavatkozási lehetőséget biztosítanak, az AiTM adathalász támadásoktól kezdve a plugineken át egészen az OAuth-támadásokig. Ezekkel átfogóan javíthatók a vállalati identitásvédelem gyenge pontjai, csökkenthetők az MFA-hiányosságok, a veszélyes jelszavak és a jogosulatlan alkalmazás-integrációk – megteremtve a 2025-ös év legaktuálisabb védelmi stratégiáját.
Az MI-alapú támadások elleni védekezésben nincs a böngészőnél jobb megfigyelési pont. Ha valóban biztonságban akarod tudni a cégedet, ideje ott figyelni, ahol minden történik: a böngészőben.
