Form-grabbing malware infecteert dagelijks duizenden computers, vaak zonder dat de gebruiker het merkt. Als u niet oplet, kan dit soort malware uw gevoelige gegevens stelen en toegang verlenen naar uw computer aan andere kwaadwillende hackers, die het kunnen gebruiken om u te spammen of meer van uw te stelen informatie.
Wat is formuliergrijpende malware?
Ook wel bekend als vormgrijpers, malware zoals deze zijn afgestemd op het vastleggen van webformuliergegevens, zoals gebruikersnamen, wachtwoorden en andere privégegevens, van een browserpagina.
In tegenstelling tot keyloggers kunnen formuliergrijpers de gegevens en inloggegevens van de gebruiker verkrijgen, zelfs als deze zijn ingevoerd door middel van plakken, automatisch aanvullen of een virtueel toetsenbord gebruiken. De verzamelde informatie wordt vervolgens opgeslagen en daarna naar een specifieke server verzonden.
Form grabbing is echter de meest voorkomende manier waarop browserreferenties worden verkregen keyloggers worden nog steeds gebruikt om de gegevens van de beheerder te stelen. Deze formuliergrijpers worden meestal gebruikt om informatie te stelen wanneer de gebruiker interactie heeft met een bankwebsite. De gegevens worden verkregen uit formulieren, wat betekent dat belangrijke gegevens eenvoudig kunnen worden geïdentificeerd en geëxtraheerd voordat ze via internet naar een beveiligde server worden verzonden.
Geschiedenis van vormgrijpen
Hoewel het begon in 2003, werd Form grabbing pas herkend als een grote malware-aanval toen Zeus in 2007 op de proppen kwam. De malware was ingebed in verschillende e-mails die naar talloze mensen werden verzonden. Degenen die de e-mails ontvingen, dachten ten onrechte dat ze van gerenommeerde bankfirma's waren. In 2011 werd de broncode van Zeus vrijgegeven voor het publiek, waardoor verschillende versies van de Trojan konden worden gemaakt.
Hoewel de originele Zeus-code met pensioen is gegaan, is dat wel het geval geboorte van gemenere vormgrijpende malware dat plaagt vandaag nog steeds het internet. Een daarvan is SpyEye. Met behulp van code van zijn voorganger Zeus richt SpyEye zich op uw webbrowser. Het registreert toetsaanslagen en steelt uw inloggegevens en autorisaties terwijl u bent ingelogd op een bankportaal.
SpyEye is bijna onvindbaar en onmerkbaar, in staat transacties te initiëren, geld over te hevelen en naar de maker te sturen. En net als andere vormgravers kan het uw computer binnensluipen via links van onbeveiligde websites en in spam-e-mails.
Hoe werkt formuliergrijpende malware?
De sleutel tot het succesvol overnemen van formulieren is het invoegen van de malware tussen de browser en de netwerkstack. Hierdoor kan het de gegevens onderscheppen voordat deze versleuteld worden.
Eerst wordt een Browser Helper Object (BHO) in de browser geïnstalleerd. Hierdoor kan de malware uitkijken naar oproepen naar de HttpSendRequest-functie. De functie HttpSendRequest is verantwoordelijk voor het tot stand brengen van een verbinding met internet en het verzenden van het HTTP-verzoek naar een opgegeven site.
De malware kan voer Dynamic Link Library-bestanden (DLL) in de browser in elke keer dat het opstart. De malware verandert ook de HTTP-functies door ze opnieuw te configureren, zodat verzoeken naar de Trojaanse code kunnen worden verzonden voordat ze naar de stapel gaan.
Hoe u uzelf kunt beschermen tegen malware die naar formulieren grijpt
Een van de meest effectieve methoden die werken tegen vormgrijpers is de installatie van antivirushandtekeningen. Ook het beperken van gebruikersrechten om te voorkomen dat BHO's worden gedownload, is een andere tactiek om te voorkomen dat Trojaanse paarden zich in uw systeem kunnen nestelen.
Installeer antivirusbescherming
Antivirus werkt door verkeer te scannen dat via internet naar uw computer gaat. Het zoekt naar bekende bedreigingen en markeert verdachte interacties, om te voorkomen dat malware zichzelf invoegt en Trojaanse paarden zo snel mogelijk uitwerpt.
Als een computersysteem geen enkele vorm van antivirusbescherming heeft, staat het open voor aanvallen van allerlei soorten malware die lange tijd onopgemerkt kunnen blijven. Wil een antivirusprogramma echter effectief zijn tegen formuliergrabbers, dan moet het voortdurend worden bijgewerkt voor bescherming tegen de nieuwste vormen van malware die misschien niet aanwezig waren toen het antivirusprogramma voor het eerst werd gelanceerd geïnstalleerd.
Sommige programma's dwingen u om alle systemen handmatig te controleren, waardoor malware gemakkelijk onopgemerkt kan ontsnappen in een afgelegen deel van uw computer. Meestal, zelfs wanneer de Trojaanse malware wordt gedetecteerd, plaatsen deze vormen van antivirussoftware ze in een quarantainezone en wachten ze tot de gebruiker zich aanmeldt en het zelf verwijdert.
Maar anderen voeren automatische scans uit op alle systemen, detecteren malware onmiddellijk en verwijderen ze. Deze zijn het meest efficiënt tegen vormgrijpers.
Vermijd niet-versleutelde verbindingen
U moet voorkomen dat u formulieren invult op niet-versleutelde sites. Websites met het HTTPS-protocol zijn het veiligst en staan geen vormgrijpen of keylogging toe. HTTPS maakt gebruik van complexe codering om gegevensuitwisseling te beveiligen.
Het is de veiligere vorm van HTTP en wordt ook gebruikt om gegevens tussen een website en een webbrowser te verzenden. HTTP-websites worden gemarkeerd door populaire webbrowsers zoals Google Chrome en gemarkeerd als niet-beveiligd, waarbij de gebruiker een waarschuwing krijgt over de onveiligheid van de site. Een hangslotsymbool staat meestal in de URL-balk om aan te geven dat een website veilig is en het HTTPS-protocol gebruikt.
Merk ook op dat HTTPS hetzelfde protocol is als HTTP. Het enige verschil is dat de eerste is gebouwd op Transport Layer Security (TLS) die behalve het versleutelen van de verbinding tussen webapplicaties en hun servers, beveiligt ook e-mails en berichtgeving.
Meer nog, websites die HTTP gebruiken, laten hun gegevens in platte tekst verzenden, waardoor ze gemakkelijk leesbaar zijn voor kwaadwillende elementen. Zelfs als er malware op uw computer staat, zodra de website wordt bezocht draait op het HTTPS-protocol, ontvangt de malware versleutelde gegevens die hij niet kan lezen of decoderen.
Gebruik een URL-zwarte lijst
Om ervoor te zorgen dat de website waarop u zich bevindt veilig is, moet u ervoor zorgen dat deze niet op de zwarte lijst staat. Een manier om dit te bevestigen is met Google Transparantierapport. Typ de URL van de website in de zoekbalk van de pagina. Als de website opduikt, wordt bevestigd dat deze malware verspreidt via plug-ins en downloads. Door deze websites op de zwarte lijst volledig te vermijden, verkleint u de kans dat malware uw computer binnendringt.
Stel webfirewalls in
U kunt deze op de zwarte lijst geplaatste websites ook toevoegen aan een firewall, zodat u er niet per ongeluk verbinding mee maakt tijdens het surfen op internet. Helaas zijn er veel onbeveiligde pagina's met schadelijke omleidingen die naar deze op de zwarte lijst geplaatste sites leiden. Een webfirewall blokkeert deze omleidingen en beschermt tegelijkertijd gevoelige gegevens tegen formuliergrabbers.
Kun je vormgrijpen volledig voorkomen?
Form-grabbing malware is misschien gemeengoed, maar er zijn stappen die u moet nemen om te voorkomen dat uw gegevens worden gestolen. Zorg ervoor dat extensies en plug-ins alleen worden gedownload van vertrouwde bronnen. U kunt uw computer ook beschermen door een lijst met schadelijke websites en servers te maken en deze toe te voegen aan een zwarte lijst voor een firewall.
Bovendien zijn antivirusprogramma's de beste keuze omdat ze automatisch scannen op malware en deze onmiddellijk verwijderen. Vermijd volledig websites die het HTTPS-protocol niet gebruiken, aangezien Trojaanse paarden die formulieren grijpen vanaf deze plaatsen hun weg naar uw computer kunnen vinden.
