Снятие отпечатков пальцев браузера — одна из многих тактик, которые используют авторы фишинговых сайтов, чтобы обойти проверки безопасности и продлить срок действия вредоносных кампаний.
Хотя законные организации уже почти 15 лет используют снятие отпечатков пальцев браузера для уникальной идентификации веб-браузеров, в настоящее время оно также широко используется киберпреступниками: недавнее исследование показывает, что каждый четвертый фишинговый сайт использует ту или иную форму этой техники.
В этой статье мы объясним, что такое снятие отпечатков пальцев браузера, приведем примеры и обсудим, как его использовать.
Объяснение снятия отпечатков пальцев в браузере
Снятие отпечатков пальцев браузера использует различные проверки на стороне клиента для установления личности браузера, которые затем можно использовать для обнаружения ботов или другого нежелательного веб-трафика. В рамках снятия отпечатков пальцев можно собрать множество данных, в том числе:
- Часовой пояс
- Языковые настройки
- айпи адрес
- Настройки файлов cookie
- Разрешение экрана
- Конфиденциальность браузера
- Строка пользовательского агента
Снятие отпечатков пальцев браузера используется многими законными поставщиками для обнаружения ботов, злоупотребляющих их услугами и другой подозрительной активности, но авторы фишинговых сайтов также осознали его преимущества и используют этот метод, чтобы избежать автоматизированных систем, которые могут пометить их веб-сайт как фишинговый. Внедряя собственные средства контроля отпечатков пальцев в браузере при загрузке содержимого своего сайта, злоумышленники могут скрывать фишинговый контент в режиме реального времени.
Например, Fortra наблюдала, как злоумышленники использовали отпечатки пальцев браузера, чтобы обойти процесс проверки рекламы Google. Поскольку процесс проверки Google является полуавтоматическим, реализация проверки отпечатков пальцев браузера позволила злоумышленникам определить, когда Google просматривал их рекламные места по сравнению с обычным пользователем. Если злоумышленник подозревал активность Google, отображался безопасный контент. Это привело к тому, что Google отклонил отчеты о фишинге, поскольку фишинговый контент не был обнаружен.
Примеры снятия отпечатков браузера
Режим борьбы с ботами Cloudflare — один из примеров законного провайдера, использующего методы снятия отпечатков пальцев браузера для идентификации и блокировки ботов.
Режим борьбы с ботами Cloudflare использует методы снятия отпечатков пальцев браузера для идентификации и блокировки ботов.
Каждый раз, когда веб-сайт загружается в режиме боя с ботами, запускается приведенный ниже код JavaScript и отправляет результаты обратно в Cloudflare. В зависимости от результатов вам либо будет предоставлена капча, либо заблокированы.
Ниже приведен пример одной из проверок браузера по снятию отпечатков пальцев, реализованной на фишинговом сайте. При первой загрузке сайт выполнит следующий закодированный JavaScript:
Если JavaScript декодирован, команды безопасности увидят, что он запутан, и по показанным строкам смогут сделать вывод, что он запрашивает многочисленные свойства браузера и запускает тесты, чтобы увидеть результаты.
После завершения работы JavaScript он генерирует отпечаток пальца и отправляет всю информацию обратно на фишинговый сайт, где результаты анализируются сервером. В зависимости от того, что он определит, будет отображаться либо неопасный контент, либо фишинговый сайт.
В приведенном ниже примере большой блок текста содержит значительный объем данных о браузере, посещающем страницу.
Этот отпечаток содержит все свойства браузера, включая информацию о размерах экрана, операционной системе, аппаратном обеспечении графического процессора, часовом поясе и многих других данных. Вся эта информация в совокупности позволяет легко определить, настоящий ли браузер или его эмулятор.
Следующие примеры содержат информацию, указывающую на активность ботов.
Пример A. Существует несоответствие между Платформой и UserAgent, что указывает на то, что UserAgent был изменен.
Пример А
Пример Б. Размеры экрана конфликтуют, поскольку внутренние значения больше внешних.
Пример Б
Пример C. Смещение часового пояса равно 0 или UTC, что указывает на активность сервера, а не клиентской системы. Информация о графическом процессоре также показывает, что это система Linux.
Пример С
Любой из предыдущих примеров и информации можно проанализировать, чтобы определить вероятность того, что посетитель является ботом. В случае с фишинговым сайтом, описанным выше, будет отображаться безобидный контент, если полученные данные указывают на то, что к нему не обращается реальный браузер. Этот тип обнаружения может идентифицировать практически любую готовую эмуляцию браузера, такую как Curl, Puppeteer, Selenium или Headless Chrome.
Раньше сканеры могли легко избежать обнаружения, используя прокси-сервер и меняя его UserAgent. Однако снятие отпечатков пальцев браузера очень эффективно для идентификации этих автоматизированных систем, позволяя авторам сайтов изменять содержимое своего сайта на основе результатов. Понимание свойств браузера, которые собирают преступники, когда снятие отпечатков пальцев имеет решающее значение для служб безопасности, чтобы избежать подозрений со стороны злоумышленников.
2024-04-05 05:00:18
1712294449
#Киберпреступники #используют #снятие #отпечатков #пальцев #браузера
:quality(70):focal(2712x1102:2722x1112)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/FJUPWM5G4VCHHB2RFFZIUMCWKA.jpg?resize=150%2C150&ssl=1)
