¿Qué son los ataques Man in the Browser y cómo prevenirlos?

Es posible que hayas oído hablar de los ataques de Man in the Middle (MitM). Un ataque de Man in the Middle es solo eso: un tercero se sienta entre dos partes y transmite los mensajes enviados entre ellos. Al ser el hombre en el medio, el atacante no solo puede ver los mensajes que se envían y reciben, sino que también puede alterarlos.

Un subtipo de ataques MitM es el ataque Man in the Browser (MitB). Un ataque MitB es similar a un ataque MitM, pero el ataque MitB está restringido a tu navegador web en lugar de abarcar todo el sistema. Sin embargo, eso no lo hace más seguro.

En un ataque MitB, el atacante se encuentra entre el navegador web de un usuario y los servidores de destino. Como en un ataque MitM, el atacante puede ver los mensajes intercambiados entre el navegador y los servidores de destino y modificar esos mensajes. Es un ataque muy serio que generalmente se usa para fraudes bancarios y de tarjetas de crédito.

En este artículo, explicaremos cómo funcionan los ataques MitB y cómo puedes defenderte de ellos. También proporcionaremos ejemplos de ataques MitB.

¿Qué es un ataque Man in the Browser (MitB)?

Una de las mayores diferencias entre un ataque MitM y un ataque MitB es que este último tiene lugar en la capa de aplicación (intercepta y altera el contenido del navegador) en lugar de en la capa de red (interceptando y modificando paquetes de datos en tránsito). Eso significa que el ataque puede tener éxito independientemente de si el sitio que estás viendo está protegido con SSL (HTTPS) o no.

El primer paso para realizar un ataque MitB es infectar la computadora objetivo con malware. La computadora de destino debe estar preinfectada con malware antes de que se pueda llevar a cabo el ataque MitB. Normalmente será un caballo de Troya. Una vez que el sistema de destino se ha infectado con éxito, el troyano modificará el navegador del usuario, normalmente de dos formas:

  • Ejecutando un script malicioso que configura el navegador web de la víctima para usar un servidor proxy controlado por el atacante.
  • Instalando una extensión de navegador web comprometida controlada por el atacante.

En cualquier caso, esto proporciona al atacante la capacidad de ver los mensajes enviados y recibidos por el navegador infectado y modificarlos.

El usuario no recibirá ningún indicio de que algo anda mal. La URL en la parte superior del navegador será correcta, por lo que inspeccionarla no evitará el ataque y, si está habilitada, las advertencias de «sitio malicioso» del navegador no se activarán. La página web parecerá completamente legítima aunque el atacante la haya manipulado.

La ingeniería social es el vector de ataque

Como ocurre con muchos, si no la mayoría, de los ataques en línea, la ingeniería social es donde comienza todo. Cuando tu computadora está infectada con un troyano MitB, el punto de entrada normalmente habrá sido alguna forma de ingeniería social. Una publicación de Facebook falsa, un correo electrónico no deseado con un enlace o archivo adjunto malicioso, una ventana emergente poco fiable, etc.

Internet es un lugar hostil. No confíes demasiado, no faltan los que esperan abusar de tu confianza en línea. Trata Internet como un gran infomercial engañoso y observa siempre la letra pequeña.

Proporcionaremos algunos consejos sobre cómo evitar los troyanos hacia el final de este artículo.

¿Cómo funciona?

Un ataque MitB exitoso puede controlar el navegador de la víctima de la siguiente manera:

  • Agrega nuevas columnas / campos en el sitio web o modifica los campos existentes.
  • Cambia la apariencia del sitio web.
  • Modifica la entrada del formulario de la víctima (páginas de pago, formularios de inicio de sesión, etc.).
  • Intercepta los datos transmitidos por el usuario al sitio web y viceversa.
  • Modifica las respuestas de los servidores, cosas como los mensajes de confirmación y los recibos.
  • Elimina los rastros de la transacción fraudulenta cuando el usuario visite el sitio posteriormente.

Un ataque MitB exitoso también podría secuestrar tu sesión (robar sus cookies para evitar los inicios de sesión) o realizar un ataque de repetición.

Así es como puede verse un ataque MitB común:

  • La computadora de la víctima está infectada con un troyano MitB a través de alguna forma de ingeniería social / phishing (publicación falsa de Facebook, correo electrónico no deseado con un enlace o archivo adjunto falso, etc.).
  • El caballo de Troya procede a modificar el navegador de la víctima utilizando uno de los métodos anteriores (extensión del navegador / servidor proxy).
  • La víctima inicia sesión en su sitio web bancario para transferir algunos fondos a la cuenta de su madre.
  • El atacante puede ver todo lo que envía y recibe el navegador de la víctima.
  • La víctima ingresa toda la información requerida para transferir los fondos y confirma la transferencia.
  • A medida que la solicitud de la víctima se transmite al banco, el atacante la intercepta y modifica para transferir los fondos a una cuenta controlada por el atacante en lugar de la cuenta de la madre de la víctima.
  • El atacante envía a la víctima una página de confirmación de apariencia legítima que indica que la transferencia solicitada se realizó correctamente.

La víctima podría tardar días en darse cuenta de que los fondos no se transfirieron a la cuenta prevista. Y cuando lo hagan, es posible que no sospechen de inmediato que el problema está en su navegador. El banco declarará que recibió una solicitud para que los fondos se transfieran a la cuenta del atacante. Y dirán la verdad. En este punto, es probable que la cuenta esté cerrada, y la entidad detrás de ella será imposible de rastrear y probablemente no habrá sido una persona real para empezar.

Lo anterior es solo un ejemplo. Los ataques MitB no siguen un libro de jugadas fijo, aparte de ser ataques desagradables que tienden a apuntar a tu información financiera. En el ejemplo anterior, el atacante podría haber insertado un nuevo campo de texto para que se ingrese información personal adicional en el sitio web bancario para recopilar esa información y perpetrar otro ataque en una fecha posterior.

Dónde se utilizan con más frecuencia los ataques MitB

En general, los ataques de hombre en el navegador tienen como objetivo sitios web donde los usuarios realizan cualquier tipo de transacción. Por ejemplo,

  • Sitios web pertenecientes a la industria financiera: bancos, seguros, tarjetas de crédito, empresas hipotecarias, etc.
  • Páginas web de comercio electrónico.
  • Sitios web de servicios públicos que facilitan a los usuarios pagar facturas en sus plataformas. Por ejemplo, electricidad, gas, internet, cable, etc.
  • Sitios web que ofrecen membresías / suscripciones pagas.
  • Páginas web que tienen instalaciones de recaudación de fondos, donaciones o caridad.
  • Carteras online
  • Sitios web de redes sociales.
  • Sitios web que facilitan el cálculo y la presentación de impuestos.

Sin embargo, el alcance no se limita solo a las transacciones. Los ataques de hombre en el navegador también se utilizan para robar los datos. Aquí, el perpetrador roba datos del formulario del sitio web legítimo o de las páginas de inicio de sesión. Los formularios pueden ser formularios de consulta o formularios de contacto. También pueden agregar nuevos campos como números de teléfono, números de cuentas bancarias, etc. en los formularios existentes. No hace falta decir que los piratas informáticos reciben instantáneamente todos los datos llenados por el usuario en dichos formularios.

Los piratas informáticos también ejecutan ataques de hombre en el navegador contra el sitio web interno de la empresa o los sitios web de gestión de proyectos, que los empleados utilizan para almacenar y compartir datos confidenciales.

Ejemplos

Estos son algunos ejemplos de ataques Man in the Browser:

Clampi

Clampi es un conocido troyano bancario Man in the Browser. Fue diseñado para recopilar y transmitir información personal, más precisamente, información bancaria, desde la computadora de la víctima a un servidor controlado por el atacante. Esta cepa de troyano se dirigió específicamente a las computadoras con Windows y se observó por primera vez en 2007.

SpyEye

El troyano SpyEye afecta a Google Chrome, Opera, Internet Explorer y Firefox en los sistemas Windows. Además de proporcionar al atacante acceso a la computadora comprometida, el troyano también funciona como un registrador de teclas. Un registrador de teclas registra las pulsaciones de teclas de un usuario de computadora para obtener credenciales e información confidencial, como números de tarjetas de crédito.

El troyano SpyEye puede insertar nuevos campos de texto en la página web que está viendo la víctima y también puede modificar campos de texto legítimos en la página web. Esto permite que el troyano solicite al usuario información confidencial y elimine contraseñas, nombres de usuario, cuentas bancarias y números de tarjetas de crédito. SpyEye puede incluso mostrar el saldo falso de un usuario mientras le oculta las transacciones fraudulentas.

El troyano SpyEye se originó en Rusia en 2009, cuando se vendió en la Dark Web a precios superiores a los 500 dólares.

Carberp

Descubierto por primera vez en 2009, el troyano Carberp fue diseñado para apuntar a Facebook. Carberp puede verificar el estado de tu conexión a Internet, conectarse a sitios remotos a través de Internet, descargar otro malware y ejecutar archivos. Bastante sucio.

Si un usuario con un navegador web infectado accedió a Facebook, reemplazaría cualquier página visitada por la víctima con una página que indique que la cuenta de Facebook de la víctima ha sido bloqueada temporalmente. Además, solicita el nombre del usuario, la fecha de nacimiento, la dirección de correo electrónico y la contraseña, y 20 euros para confirmar su identidad y desbloquear la cuenta.

En el lado positivo, sabemos dónde se instala este troyano, por lo que siempre puede verificar si ha sido infectado:

  • / Archivos de programa \ NVIDIA Corporation \ Actualizaciones
  • / Archivos de programa \ NVIDIA Corporation \ Centro de actualización

Zeus

El troyano Zeus, también conocido como ZeuS y Zbot, infecta equipos que ejecutan Microsoft Windows. Al igual que SpyEye, el objetivo de Zeus es recopilar información financiera mediante el registro de teclas y la captura de formularios.

El troyano Zeus generalmente se propaga a través de descargas no autorizadas e ingeniería social / phishing. Una descarga drive-by es una descarga que ocurre sin saberlo al descargar otra cosa. Un buen ejemplo de esto es que Google Chrome se instala automáticamente cuando instalas otro programa, como CCleaner, en computadoras con Windows. En el caso de Chrome, la descarga no autorizada es inocua, pero también puede ser malware.

Zeus fue descubierto por primera vez en julio de 2007 cuando se descubrió que había infectado al Departamento de Transporte de los Estados Unidos. Para 2009, se descubrió que Zeus había infectado organizaciones como Bank of America, Amazon, NASA y Oracle.

¿Cómo detectar un ataque MitB?

Uno de los aspectos más desagradables de un ataque de Hombre en el navegador es que es casi imposible de detectar. Cuando eres víctima de un ataque MitB, no hay nuevos procesos para detectar ni URL extravagantes que puedas inspeccionar. Todo parece estar como debería.

Sin embargo, todavía hay algunos obsequios sutiles que pueden hacer sonar la alarma. Estas sugerencias no son exclusivas de los ataques MitB y podrían ser el síntoma de algo diferente. De cualquier manera, vale la pena estar atento a lo siguiente:

  • Observa elementos adicionales o faltantes en la página web.
  • Recibes una notificación de inicio de sesión de un dispositivo que no reconoces.
  • De repente se cierra la sesión de tu cuenta.
  • Tu antivirus detecta malware en tu computadora.

En los ataques de phishing habituales, los atacantes redirigen a los usuarios a un sitio web que se parece al sitio original y engañan a los usuarios para que envíen su información. Aquí, los usuarios aún tienen la oportunidad de detectar el fraude, ya que el nombre de dominio será diferente. Pero en los ataques de hombre en el navegador, los usuarios solo visitan el sitio web original. No tienen ningún motivo para sospechar y detectar el ataque.

Desafíos de detección para servidores de sitios web

Todos los buenos sitios web utilizan tecnología robusta, como habilitar la autenticación de dos factores, obligar a los usuarios a establecer contraseñas seguras, limitar los intentos de inicio de sesión, habilitar el re-captcha, etc. Incluso envían alertas móviles / por correo electrónico al usuario si hay un intento de inicio de sesión sospechoso de un nuevo dispositivo o ubicación geográfica. Estos pasos ayudan a los servidores a detectar y prevenir ataques de fuerza bruta y acceso no autorizado a la cuenta de los usuarios.

Sin embargo, en los ataques man in the browser, los propios usuarios inician sesión con sus credenciales originales y completan el proceso de autenticación. Por lo tanto, el servidor no tiene nada de qué sospechar y no puede detectar el ataque.

Desafíos de detección para el certificado SSL / TLS

En términos sencillos, el trabajo de un certificado SSL / TLS es comunicar de forma segura los datos entre el navegador y el servidor del sitio web. Utiliza tecnología de infraestructura de clave pública (PKI), algoritmo AES, RSA o ECC de hasta 256 bits para cifrar la clave de sesión y clave pública y privada de hasta 2048 bits para proteger los datos en tránsito.

Pero la protección del certificado SSL se ofrece en el lado de la red, mientras que los ataques man-in-the-browser se ejecutan en el lado de la aplicación. El troyano modifica los datos en el nivel del navegador, incluso antes de que los datos se transmitan a través del túnel de comunicación SSL / TLS cifrado.

Considera este escenario: el trabajo de un repartidor de alimentos es tomar los alimentos del restaurante y entregarlos de manera segura en la dirección estipulada. Pero, ¿qué pasa si el gerente del restaurante le entrega un paquete de comida equivocado o una dirección de entrega incorrecta? De la misma manera, SSL / TLS no puede evitar los ataques del hombre en el navegador porque los datos ya están modificados antes de que se entreguen al túnel cifrado de la tecnología SSL / TLS.

Consejos para prevenir ataques de hombre en el navegador

Aunque los troyanos utilizados para los ataques de hombre en el navegador están evolucionando todos los días, puedes prevenirlos estando atento y con el uso de algunas herramientas tecnológicas. Estas son cinco tecnologías o procesos que puedes implementar para prevenir ataques MitB:

Autenticación fuera de banda

En este método, el navegador no se utiliza para la autorización de dos factores o, a veces, de varios factores (MFA). En su lugar, se utiliza la función de SMS de un teléfono móvil o una llamada telefónica automatizada para entregar la contraseña de un solo uso (OTP) o el pin secreto.

El SMS o llamada telefónica contiene toda la información sobre la transacción junto con el OPT. Pero el usuario debe estar atento y verificar toda la información recibida en el SMS / llamada telefónica antes de enviar la OTP al navegador. Sin embargo, no puedes confiar en este método al 100% porque troyanos como Zeus y SpyEye pueden dañar los móviles e interceptar todos los mensajes SMS entrantes también.

Comprobación manual de tus archivos de programa

Algunos de los troyanos comunes de man in the browser tienen un patrón de almacenamiento similar. Asegúrate de revisar periódicamente las siguientes carpetas:

  • C: / Archivo de programa
  • C: / Archivos de programa (x86)
  • C: / Windows / Temp

Si detectas algún software nuevo no autorizado, escanéalo con un software anti-malware y realiza una búsqueda en Internet para obtener más información al respecto. Si encuentras algo sospechoso, elimina dicho software desconocido.

Utiliza software de seguridad

El software antivirus puede detectar y eliminar algunos de los troyanos man-in-the-browser. Escanea regularmente tus dispositivos con el software antivirus. Algunos de los antivirus también muestran el cuadro de diálogo de seguridad si encuentran que se descarga algo sospechoso de Internet. Sin embargo, el software antivirus no puede evitar todos los troyanos más recientes. También hay disponible algún software de seguridad para navegadores.

Estas cinco soluciones pretenden prevenir los ataques MitB:

  • Mimecast: detecta y bloquea los troyanos MitB distribuidos a través de correos electrónicos.
  • BullGuard: ningún complemento, extensión o BHO puede instalarse sin el aviso del usuario, ya que BullGuard alerta al usuario cada vez que se agrega algo nuevo en el navegador.
  • IBM Trusteer Rapport: esta solución de protección de endpoints evita el malware y los ataques de phishing.
  • Entrust: tiene dos soluciones, Entrust TransactionGuard y Entrust IdentityGuard, que permiten la autenticación multifactor como OOB para evitar ataques de hombre en el navegador.
  • CodeSealers: es un software de protección de interfaz de usuario (UI) que brinda protección contra ataques de hombre en el navegador y MitM.

Estate atento al navegar en un sitio web desconocido

Ten cuidado al descargar cualquier software o archivos multimedia como canciones, imágenes y videos de sitios desconocidos. Escanea siempre los archivos descargados con un programa antivirus sólido.

Si sospechas que hay enlaces o botones, haz clic derecho sobre ellos y presiona Inspeccionar. Verás una ventana con un montón de códigos en la que puedes ver exactamente a dónde te redirige exactamente el enlace / botón.

Nunca hagas clic en enlaces o anuncios que parezcan demasiado buenos para ser verdad. Por ejemplo, anuncios como ganar la gran lotería, precios de casinos, ganar miles de dólares trabajando desde casa, etc.

Si estás navegando por un sitio web desconocido que te pide que actualices el navegador, el software o el reproductor multimedia, nunca lo descargues desde el enlace proporcionado por esos sitios web. Si estás utilizando una versión desactualizada, ve al sitio oficial de ese navegador / software y descarga la versión actualizada directamente desde allí.

Ten cuidado con los correos electrónicos de phishing

Una de las formas más populares de distribuir el troyano man-in-the-browser es a través de correos electrónicos de phishing. Es por eso que siempre debes verificar los encabezados de los correos electrónicos y la dirección de correo electrónico del remitente para asegurarte de que los correos electrónicos se envíen desde el nombre de dominio oficial de la empresa. Por ejemplo, si recibes un correo electrónico que dice ser de Amazon, debe ser de una dirección de correo electrónico que termine en «@ amazon.com» en lugar de Gmail, Yahoo o cualquier otra dirección de correo electrónico genérica.

No descargues ningún archivo adjunto de los correos electrónicos antes de escanearlos a través de un software antivirus confiable. Antes de hacer clic en un enlace de un correo electrónico, coloca el cursor sobre el enlace y verifica a dónde apunta realmente.

Conclusión

Los ataques del hombre en el navegador se cometen contra personas y organizaciones. Si bien las organizaciones medianas y grandes pueden permitirse el lujo de comprar soluciones de seguridad costosas, muchas pequeñas empresas no tienen amplios presupuestos de seguridad y TI. Las pequeñas empresas deben brindar capacitación en ciberseguridad a sus empleados para ayudarlos a reconocer las estafas de phishing. Hay muchos tutoriales de capacitación gratuitos o económicos disponibles para este propósito.

El aspecto más desafiante del ataque MitB es la brecha de tiempo. La mayoría de los usuarios no notan inicialmente nada sospechoso después de que se ha producido el fraude. Por lo general, los usuarios tardan mucho tiempo en comprobar sus extractos bancarios o ponerse en contacto con el servicio de atención al cliente del sitio web por no recibir los artículos pedidos. Esto les da a los ciberdelincuentes tiempo suficiente para eliminar la evidencia de sus ataques MitB y transferir los fondos a la cuenta bancaria extranjera o cobrar el dinero y cerrar la cuenta bancaria. Por lo tanto, debes verificar regularmente tus extractos bancarios o cuentas de comercio electrónico para detectar tales ataques en sus primeras etapas.