浏览器中的人类攻击

该网站看起来非常完美，URL也准确无误。地址栏中还有锁标志，说明连接使用的是HTTPS协议。一名薪资管理员输入转账金额、核对账户信息后，点击“发送”按钮。五分钟后，这笔钱就进入了网络犯罪分子的钱包里。这是一种“浏览器中的攻击方式”，而这种攻击通常发生在用户最信任的应用程序内部。

由于 MitB 发生在用户的设备上，而不是网络上，因此很难被检测到。这种攻击方式甚至可以在 HTTPS 环境下实现欺诈性交易。企业通常会花费数百万美元来保护自己的服务器，但浏览器中的攻击方式可以绕过这些防御措施，直接突破终端的防护机制。

“浏览器中的攻击者”攻击是一种威胁，通过这种攻击方式，恶意软件会感染用户的网络浏览器，从而在用户不知情的情况下对网页或交易进行篡改。这种攻击方式使得攻击者能够窃听用户的通信内容、修改数据，甚至执行未经授权的操作。

“浏览器中的攻击者”这种攻击方式，其目的是破坏互联网的信任机制。与其他可能试图导致系统崩溃或锁定文件的威胁不同，这种攻击方式的目标是让用户成功登录系统，从而利用用户的认证会话来实施后续攻击。

MitB是如何工作的呢？

在传统的中间人攻击中，攻击者会位于网络路径上，从而截获你的计算机与银行之间的通信数据。不过，现代加密技术如SSL/TLS使得这种攻击变得难以实施。（如果TLS协议被正确实现的话，那么大多数针对网络路径的拦截行为都会被阻止。但是，当证书的信任或验证机制受到破坏时，中间人攻击就可能会成功。）

在经过正确验证的TLS协议下，路径上的攻击者无法读取或篡改传输的数据。但如果证书验证被绕过或失效的话，他们就有可能做到这一点。

浏览器中的攻击者攻击方式，其目标就是针对终端设备。这种攻击可能在加密过程开始之前，或者解密过程之后发生。

感染阶段通常，这种攻击都是从“特洛伊木马”开始的。受害者的设备会被感染，这通常是通过钓鱼邮件、恶意下载，或者那些将恶意软件与合法软件一起安装的插件来实现的。这种“浏览器中的攻击者”攻击方式，就是利用这种初始的破坏行为来为后续的盗窃行为埋下种子。

一旦进入系统，这种恶意软件就会与网页浏览器相连。该恶意软件可能会以恶意浏览器扩展程序的形式被安装到系统中，或者直接将代码注入到浏览器的可执行程序或API调用中。这样一来，攻击者就可以读取和修改页面的文档对象模型（DOM）。这就是所谓的“MitB攻击”的核心机制。

现在，就到了最可怕的部分了。当你访问某个银行网站时，这些恶意软件就会开始活动起来。

1. 您请输入您的密码或交易详细信息。
2. 这次攻击获取了那些数据。
3. 在浏览器将数据加密后发送给银行之前，这种“浏览器中的人”攻击方式会将目标账户号码替换为黑客的账户号码。
4. 当服务器返回一份收据，上面写着“已向一名网络犯罪分子的账户转账了5,000美元”时，那些利用浏览器进行攻击的人会截获这份收据，然后重新编写HTML页面，从而在用户的显示器上显示“已向供应商的账户转账了5,000美元”这样的信息。

由于恶意软件存在于终端设备上，因此浏览器会建立一种完全有效的TLS连接。MitB攻击实际上会背叛用户和服务器，因为该请求看起来是合法的。这个请求来自用户的电脑，而且使用了用户的Cookie信息。

浏览器中的男性攻击行为的迹象

检测“浏览器中的攻击者”攻击行为相当困难，因为恶意软件可以控制用户所看到的内容。不过，由于MitB攻击依赖于脚本和注入技术，因此通常会有一些微妙的行为迹象可以提示这种攻击的存在。

1. 不寻常的认证提示。
   如果您的登录流程发生了改变，那么这可能意味着存在攻击行为。例如，通常情况下，银行会先要求用户输入密码，然后再输入验证码；但如果突然只要求输入验证码，或者反复要求用户输入一次性密码，那么很可能是有攻击者试图获取用于进行平行交易的验证码。
2. 新的或无法删除的扩展程序。
   请检查您的扩展程序列表。浏览器中的恶意攻击通常是通过恶意扩展程序来实施的。如果您看到有自己并未安装的“PDF转换器”功能，或者某个合法扩展程序突然要求获取权限以“读取和修改所有网站上的数据”，那么您很可能正面临这种类型的攻击。
3. 浏览器性能表现不佳。
   MitB攻击需要强大的处理能力来注入脚本并实时修改页面元素。如果你在加载金融类网站时遇到明显的延迟，那么很可能是因为浏览器正在处理来自“Man-in-the-Browser”攻击的恶意代码所导致的。
4. 意外的交易提醒。
   这通常是“浏览器中的攻击者”攻击的第一个具体迹象。如果您收到来自银行的短信或电子邮件通知，确认了并非您自己所进行的交易（或者交易的金额与您所输入的金额不符），那么请相信这些通知的内容，而不是您在电脑屏幕上看到的信息。MitB攻击可以隐藏桌面上的真实情况，但它们通常无法控制您自定义的短信通知。不过，这些通知本身也可能被破解。因此，请通过其他可信的渠道来核实这些通知的真实性。您可以致电银行，或者使用经过验证的设备来确认这些信息是否属实。
5. 那些通常并不包含弹出窗口的网站上出现的弹出窗口。
   如果某个看似干净的企业网站突然弹出窗口，要求用户提供敏感的个人信息，那么很可能正在发生某种攻击行为。这种行为属于典型的“Webinject”攻击方式。这种攻击方式属于MitB攻击的一种常见形式，即恶意软件在合法网站的界面上叠加了一个虚假的表单。
6. 自动登出功能无法正常使用。
   有时候，这种“浏览器中的攻击者”会保持会话的激活状态，从而继续在后台执行相关操作。如果你点击了“退出”按钮，但浏览器仍然无法关闭或无法确认该操作，那么攻击者就有可能趁机劫持会话终止过程。

识别这些细微的警示信号，往往是发现“浏览器中的男人”攻击正在进行的唯一方法。如果您发现任何这样的迹象，请立即断开连接，以防止这种攻击导致欺诈性交易的发生。

如何防御MitB攻击呢？

你不能仅仅依赖网络安全措施来防止攻击，因为攻击者已经存在于终端设备上。虽然TLS协议以及正确的证书验证能够有效降低中间人攻击的风险，但中间人攻击仍然可能发生，因为攻击行为发生在终端设备之上。因此，你必须保护设备和浏览器本身。

由于这种威胁直接受到浏览器安全策略及权限控制机制的处理，因此像思博的Business Browser这样的解决方案就显得非常重要了。该解决方案目前仅提供等待名单服务。通过严格的扩展程序管理政策以及集中化的浏览器管理方式，企业可以减少这种威胁的进入途径。

务必遵守严格的口腔清洁规范。

常见的做法是使用那些存在风险或未经审查的浏览器扩展程序。一旦这些扩展程序被安装到浏览器中，它们就可以读取和修改浏览器中的各种操作。这样一来，就为黑客利用浏览器进行攻击提供了机会。

请只从可靠的来源安装扩展程序。各组织应使用相关政策工具来完全阻止未经授权的扩展行为，从而防止“浏览器中的攻击者”能够成功实施其攻击计划。

2. 使用带外验证方式来进行验证。

由于“浏览器中的攻击者”可以操控你在显示器上看到的内容，因此你需要从其他设备上获取“第二份确认”。如果你正在进行转账操作，请通过手机银行应用程序或短信来核实交易详情。如果短信显示你正在转账1万美元，但屏幕上的数据显示只有100美元，那么说明有攻击行为发生。

3. 实现支付过程中的“动态链接”功能。

对于金融机构来说，遵守如欧盟的PSD2标准至关重要，因为这有助于防止“浏览器中的攻击者”发起的攻击。该法规要求采用“动态链接”机制，即为每笔交易生成专门的认证码。如果攻击者在后台更改了交易金额，那么为原始金额生成的认证码将无法发挥作用。

4. 确保终端设备的安全性。

这听起来似乎很基础，但实际上，它能够有效阻止那些用于实施“浏览器入侵攻击”的恶意软件。请保持操作系统和浏览器的更新。这类攻击通常利用未修复的漏洞来注入恶意代码。此外，建议使用信誉良好的端点检测与响应软件，因为这类软件在识别攻击方面比传统的杀毒软件更为有效。

5. 监控异常情况

安全团队应留意那些看似“不可能的旅行行为”或异常的行为模式，这些都可能表明存在网络钓鱼攻击。例如，用户通常从伦敦登录系统，但却使用不同的设备来执行一些重要的转账操作。或者，提交数据的速度异常快，这也可能意味着存在基于脚本的攻击。不过，所谓的“不可能的旅行行为”也可能是由于凭证被泄露导致的，并不一定意味着是网络钓鱼攻击。

6. 向用户普及关于MitM和MitB之间的区别的相关知识。

有时候，用户们已经了解到了中间人攻击的威胁，因此会避免使用公共Wi-Fi。不过，他们还需要明白这一点。即使是在安全的家庭Wi-Fi环境下，也可能会发生“浏览器中的攻击者”攻击。如果他们下载了恶意文件的话……了解MitM攻击与MitB攻击的区别，有助于用户明白为什么仅仅“寻找锁图标”已经不够了。

7. 请明智地使用多因素认证机制。

MitB攻击有时可以通过欺骗用户输入密码来绕过基本的多因素认证机制。不过，与短信验证码相比，硬件令牌和FIDO2密钥则更难被攻击所利用。采用更安全的身份验证方式，能够有效降低浏览器入侵的成功率。

确保免受中间人攻击的威胁。

看到的东西并不一定会让人相信。网络犯罪分子可以绕过通常用于阻止中间人攻击的传统网络安全措施。不过，如果企业和用户能够严格控制浏览器环境、仔细检查各种扩展程序，并通过独立的渠道来验证交易信息的话，那么他们的会话就可以得到保护。保持警惕，及时更新自己的安全设置，避免让“浏览器中的攻击者”利用自己的计算机来对自己造成伤害。