Днес бизнесът все повече премества своята работа в интернет. Срещите се правят през онлайн платформи, електронната поща е основният канал за комуникация, а почти всички корпоративни приложения вече се отварят директно през браузър – Chrome, Edge, Firefox или Safari. Това обаче води до една сериозна опасност: над 80% от киберинцидентите вече започват именно от уязвимости в браузъра.
Една от най-активните и бързо развиващи се хакерски групи в последните години е Scattered Spider (позната още като UNC3944, Octo Tempest или Muddled Libra). За разлика от други добре познати кибергрупировки като Lazarus Group или REvil, които обикновено атакуват сървъри, банки и криптовалути, Scattered Spider е съсредоточена върху браузъра и човешката идентичност.
Това означава, че ако в браузъра ви има запазени пароли, токени за достъп, лични данни или дори отворен календар, тази група може да ги открадне и да нанесе сериозни щети.
Как действа Scattered Spider?
За разлика от масовите фишинг кампании, които „стрелят на посоки“, Scattered Spider работи прецизно и целенасочено. Ето основните им тактики:
- Фалшиви прозорци и кражба на пароли – използват т.нар. Browser-in-the-Browser (BitB) атаки, които имитират легитимни сайтове и подвеждат потребителя да въведе данните си.
- Кражба на сесийни токени и „бисквитки“ – дори когато има двуфакторна автентикация, атакуващите могат да копират токените от паметта на браузъра и така да поемат контрола върху вече активна сесия.
- Злонамерени разширения и JavaScript код – инсталират се уж полезни добавки за браузъра, които всъщност подслушват и изпълняват зловредни скриптове.
- Разузнаване чрез браузъра – групата използва различни уеб API-та (например WebRTC или CORS), за да картографира вътрешните системи и да открие слабите места в организацията.
Как можем да се защитим?
За да не станат лесна жертва на подобни атаки, компаниите трябва да приемат браузърната сигурност като основен елемент на киберзащитата си. Ето няколко ключови стъпки:
- Защита от кражба на пароли – не е достатъчно само антивирусна програма или EDR. Нужни са решения, които следят за зловредни JavaScript кодове и фалшиви форми за вход, преди те да достигнат до потребителя.
- Сигурни сесии – токените и „бисквитките“ трябва да бъдат защитени така, че да не могат да се крадат или използват извън контекста на конкретното устройство и мрежа.
- Контрол върху разширенията – много служители инсталират разширения за удобство, но те могат да бъдат и троянски кон. Организациите трябва да позволяват само проверени и одобрени разширения.
- Ограничаване на разузнаването – определени уеб API-та могат да бъдат изключени или „подведени“ с фалшива информация, за да не дават на атакуващите достъп до реалните данни.
- Интеграция с вече съществуващите системи за сигурност – логовете от браузъра трябва да се свържат със SIEM или SOAR системи, за да може екипът по сигурността да вижда пълната картина и да реагира по-бързо.
Какво да направят ръководителите по сигурността (CISO)?
- Оценете риска – кои браузъри и разширения използва екипът ви?
- Въведете защита в реално време срещу JavaScript атаки, кражба на токени и зловредни разширения.
- Дефинирайте ясни политики за браузърната употреба – кои API-та и функции са позволени, кои не.
- Интегрирайте браузърната защита към вече използваните ви инструменти за киберсигурност.
- Обучете служителите – често именно човешката грешка е най-слабото звено.
- Редовно тествайте системите си чрез симулации на реални атаки.
- Преглеждайте инсталираните разширения и ограничавайте достъпа само до най-необходимите.
Заключение: Браузърът като новата „врата“ към бизнеса
Scattered Spider е ясен пример как хакерите еволюират. Вместо да атакуват директно сървъри или да разпространяват вируси, те се фокусират върху най-използваното приложение – браузъра.
За компаниите това е сигнал, че защитата на браузъра трябва да бъде централен приоритет. Инвестицията в интелигентни, адаптивни решения за сигурност може не само да предотврати атаки като тези на Scattered Spider, но и да подсили цялостната защита на организацията – от SaaS приложенията до дистанционната работа.
