Израильские эксперты по безопасности опубликовали исследование о новом типе кибератак, названном «Сброс пароля человеком посередине» (PRMitM). Такая атака предполагает, что злоумышленники вынуждают пользователя тем или иным образом запустить процесс обновления пароля и перехватывают его.
Человек с паролем посередине
Эксперты по безопасности из Израиля представили исследование, посвященное новому типу кибератак — «Сброс пароля человеком посередине». «Человек посередине» (Man-in-the-Middle, MitM) — распространенная разновидность атак, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. В данном случае в качестве одного из корреспондентов выступает легитимный сервер, на котором авторизуется пользователь — сервер электронной почты или социальной сети.
Злоумышленнику для успешной атаки потребуется заманить пользователя на вредоносный сайт, внешне имитирующий легитимный ресурс. Также понадобится серверное приложение, которое будет перехватывать отправляемые пользователем данные, менять их и перенаправлять на регистрационные формы системы управления паролем на другом сайте.
Например, если потенциальная жертва вводит имя пользователя или почтовый адрес в регистрационной форме на вредоносном сайте, эта информация перенаправляется на легитимный ресурс — Google, Yandex, Yahoo и т. д. — для запуска процесса смены пароля.
Если сервер присылает секретный вопрос безопасности, активирует тест Captcha или пересылает SMS с кодом верификации, то злоумышленник эти данные перенаправляет пользователю (то есть, на вредоносном сайте могут появляться дополнительные поля с запросами на заполнение Captcha и т. п.). Что касается SMS, то здесь злоумышленнику достаточно выяснить телефонный номер жертвы, а затем перехватить код верификации. Визуально алгоритм обмана показан на рисунке.
Сайт злоумышленника лишь немного изменяет данные, направляемые жертвой на легитимный сервис, и перехватывает контроль над полем ввода нового пароля.
Исследователи указывают, что веб-сайты, полагающиеся на отправку кода на смену пароля через SMS, особенно уязвимы. Как ни странно, перед атакой PRMitM чрезвычайно уязвимы Google, Facebook, Yahoo, «Яндекс» и LinkedIn. Проблемы могут возникнуть и с Whatsapp и Snapchat.
Противодействие атаке
Исследователи указывают, что любые сообщения, содержащие код или ссылки для смены пароля, должны быть максимально информативными, просто для того, чтобы у пользователя появились причины заподозрить неладное. Исследователи предлагают также высылать не коды в SMS, а именно ссылки; не полагаться на одни только секретные вопросы, а запрашивать дополнительные сведения от пользователя, а также указывать имя получателя в почтовых сообщениях с ссылками на смену пароля и SMS.
«В военном деле применяется термин "глубоко эшелонированная оборона", обозначающая многочисленные защитные рубежи. Этот термин весьма неплохо применим и для киберзащиты, — считает Дмитрий Гвоздев, заместитель генерального директора компании ИТБ. — Проблема в том, что коммерческие сервисы вынуждены искать баланс между удобством пользователей и надежностью защиты и часто предпочитают первое второму. В принципе, возможно обезопасить любой сервис от атак, подобных описанным, но это потребует от пользователей усилий на грани неприемлемости. Поэтому оптимальный вариант — минимизировать использование уязвимых методов, таких как отправка текстовых кодов через SMS для авторизации. И конечно же, от внимательности пользователей тоже очень многое зависит».