Navigând pe web cu aceeași lejeritate cu care accesăm o aplicație de comunicare, browserul a devenit scena principală a bătăliilor digitale pentru date și conturi. În ultimele decenii, atacurile cibernetice s-au mutat de la rețelele interne către serviciile online accesate prin browser, ceea ce schimbă integral responsabilitățile echipelor de securitate: nu mai sunt vizate doar endpoint-urile sau e-mailurile, ci evenimentele care au loc direct în fereastra browserului.
Atacatorii nu atacă browserul fără scop; urmăresc accesul la aplicațiile de business și la datele stocate acolo. Tiparul de atac din ultimii ani implică compromiterea conturilor din servicii terțe, exfiltrarea informațiilor și monetizarea acestora prin șantaj sau vânzare. Incidente recente, precum breșele din conturile Snowflake sau atacurile asupra instanțelor Salesforce, ilustrează consecințele. Pe măsură ce munca s-a descentralizat și aplicațiile cloud au devenit esențiale, utilizatorii sunt mai expuși ca niciodată, iar browserul reprezintă poarta principală.
Primul vector esențial este phishingul direcționat pe credențiale și sesiuni de utilizator. Astăzi phishingul nu înseamnă doar un e-mail prost scris; este un ecosistem sofisticat, livrat prin mesaje instant, SMS, reclame malițioase sau chiar mesageria aplicativă, folosind kituri Attacker-in-the-Middle (AitM) care interceptează sesiuni pentru a prelua accesul, ocolind multe metode MFA convenționale. Aceste kituri devin tot mai greu de detectat: obfuscare dinamică a codului, protecții anti-analiză, utilizarea serviciilor cloud legitime ca infrastructură pentru înșelătorii, toate acestea fac filtrele clasice de email și rețea insuficiente. Blocarea simplă a unor domenii cunoscute ca malițioase nu mai ține pasul cu reînnoirea rapidă a infrastructurii atacatorilor; pentru a contracara eficient, echipele trebuie să vadă ce se întâmplă în browser în timp real.
Al doilea risc este livrarea de cod malițios prin pagini care conving utilizatorul să ruleze comenzi, denumite sub etichete precum ClickFix sau FileFix. Sub pretextul unui CAPTCHA sau al unei verificări, victimei i se sugerează să copieze și să execute un cod în Terminal sau PowerShell, ori să folosească bara de adrese a File Explorer-ului pe Windows. Au apărut și variante care vizează macOS. Rezultatul tipic este instalarea unui infostealer sau furtul cookie-urilor pentru a prelua sesiuni. Deoarece aceste pagini acționează prin diverse canale și adoptă tehnici de obfuscare similare celor folosite în phishing, detectarea lor la nivel de rețea devine dificilă. Un indiciu clar pentru apărare este comportamentul de copiere a codului în clipboard, o acțiune observabilă în browser care poate fi semnalată înainte ca codul să fie executat pe sistemul local.
Al treilea tip de atac îl constituie integrările OAuth malițioase: atacatorii conving utilizatorii să autorizeze aplicații controlate de ei, oferindu-le astfel acces la date fără a trece prin autentificarea tradițională. Acest tip de „consent phishing” a fost folosit în incidente precum atacurile asupra instanțelor Salesforce, unde fluxul de autorizare cu cod pe dispozitiv a facilitat acordarea drepturilor unei aplicații malițioase. Remedierea necesită o gestionare strictă a permisiunilor și a setărilor la nivel de tenant, însă multe aplicații nu oferă controale suficiente, iar numeroase aplicații folosite în organizații nu sunt administrate centralizat. Din acest motiv, monitorizarea granturilor OAuth direct în browser oferă vizibilitate asupra aplicațiilor autorizate chiar și atunci când IT-ul nu le detectează.
Următorul vector îl reprezintă extensiile de browser malițioase sau compromise. Acestea pot capta autentificări, extrage cookie-uri și parole sau modifica paginile încărcate. Atacatorii pot crea extensii cu funcționalitate rău-intenționată sau pot prelua extensii legitime prin actualizări compromise. Exemple recente, precum incidentul cu extensia Cyberhaven și zeci de alte extensii compromise, arată caracterul real și extins al problemei. Permisiuni largi, precum accesul la toate datele de pe site-uri sau la istoricul de navigare, pot transforma o extensie necinstită într-un instrument de colectare masivă. Soluțiile orientate către browser pot inventaria extensiile instalate, identifica permisiunile riscante și detecta versiuni frauduloase sau semne frecvent asociate extensiilor malițioase.
Livrarea de fișiere malițioase rămâne o metodă uzuală: executabile, HTA-uri sau chiar imagini SVG care conțin pagini phishing client-side pot fi descărcate și rulate de utilizator. Aceste fișiere sunt distribuite prin aceleași canale ca phishingul web, astfel încât detectarea lor doar la nivel de endpoint sau sandbox poate fi evitată. Păstrarea unui registru al descărcărilor din browser oferă o protecție suplimentară, completând analiza la nivel de endpoint și ajutând la identificarea conținutului care rulează local sau redirecționează către site-uri malițioase.
În final, furtul de credențiale și lacunele MFA rămân consecințe frecvente ale acestor atacuri bazate pe browser. Conturile compromise prin phishing sau malware sunt folosite pentru autentificări în aplicații care nu solicită MFA obligatoriu, ceea ce reprezintă o metodă simplă, dar eficientă, de a obține acces. Pentru organizațiile care folosesc sute de aplicații, multe dintre ele pot avea setări de autentificare inadecvate sau „ghost logins” care acceptă parole fără factor secundar. Observarea comportamentului de autentificare în browser oferă o sursă aproape universală de adevăr despre modul în care se conectează angajații, ce aplicații folosesc și unde există lacune MFA ce trebuie corectate.
Per ansamblu, devine evident că navigarea modernă expune companiile la o varietate de tehnici care operează direct în fereastra browserului. O apărare eficientă cere vizibilitate și capacitate de răspuns la nivelul browserului, complementară controalelor de rețea și endpoint. Detectarea în browser poate opri atacurile înainte ca acestea să ajungă pe dispozitiv sau în conturi și oferă context privind fluxurile de autentificare, autorizările OAuth, extensiile și descărcările, toate utile pentru corectarea configurațiilor vulnerabile.
Salesforce și Snowflake sunt menționate în text ca exemple notabile; metricile și mecanicile atacurilor descrise arată că multe breșe rezultă din combinații între phishing AitM, OAuth malițios, extensii compromise și lacune MFA. Monitorizarea granturilor OAuth și a sesiunilor în browser poate preveni situații precum autorizările frauduloase prin fluxul device code. Supravegherea clipboard-ului sau a copierii codului din pagini poate detecta tehnicile ClickFix înainte ca utilizatorul să ruleze ceva periculos. Întrebați-vă echipa: ce vizibilitate aveți în prezent asupra extensiilor instalate, a permisiunilor OAuth și a autentificărilor din browser?
Cum monitorizați concret în timp real în browser granturile OAuth, extensiile instalate, comportamentul de copiere în clipboard și sesiunile de autentificare pentru a preveni atacuri tip AitM sau ClickFix asupra conturilor Salesforce/Snowflake, și ce pași practici ați implementat deja care chiar funcționează în producție?