Browser hijacker (z języka angielskiego porywacz przeglądarek) to rodzaj złośliwego oprogramowania występującego pod postacią rozszerzenia przeglądarki internetowej, które może zmieniać ustawienia przeglądarki bez zgody jej użytkownika, śledzić ruch, szpiegować i wykradać dane.

 

Hijacker może zainfekować przeglądarkę na kilka sposobów. Bardzo powszechnym scenariuszem jest instalacja złośliwego rozszerzenia przy okazji instalacji innego oprogramowania (pobieranego zwykle za darmo z nieautoryzowanego źródła). Użytkownik, zgadzając się na tzw. szybką instalację, nieświadomie wyraża zgodę na zainstalowanie dodatkowej wtyczki do przeglądarki, czy dodatkowego programu na komputerze. Nazywamy to bundlingiem.

 

Hijacker może być zainstalowany wraz z innym, pozornie niegroźnym narzędziem, służącym np. do wygodnego tworzenia zrzutów ekranu czy modyfikacji plików PDF. Tego rodzaju oprogramowanie pracownicy pobierają w pośpiechu, chcąc ułatwić swoją pracę. Inną opcją jest instalacja tego rodzaju malware po kliknięciu w zainfekowany link przesłany w wiadomości phishingowej.

 

Zwykle użytkownik nie będzie mieć wątpliwości, że z jego przeglądarką jest coś nie tak. Hijacking to rodzaj ataku hakerskiego, który rzadko pozostaje niezauważony.

   

Obecność hijackera można łatwo przeoczyć. Sygnałami, że coś jest nie tak, mogą być:

 

• Nowa domyślna wyszukiwarka lub strona startowa. W przypadku, gdy po uruchomieniu przeglądarki na stronie startowej pojawia się zupełnie nieznana, egzotycznie wyglądająca przeglądarka lub strona pełna banerów reklamowych – to sygnał, że może dziać się coś nieprawidłowego.


• Nachalne, występujące masowo reklamy i banery oraz wyskakujące okienka (tzw. pop-upy). To kolejny powód do niepokoju – szczególnie jeśli pojawiają się na znanych nam stronach, na których do tej pory nie występowały.


• Przekierowania do stron pełnych reklam, kasyn online i innych tego rodzaju platform.


• Spowolnienie pracy przeglądarki i komputera, pomimo braku aktywnych programów i dużych plików.

 

Ważne jest, by na wszelkie anomalie i nieprawidłowe działania reagować natychmiast, powiadamiając o tym firmowego administratora lub zespół IT. W środowisku firmowym hijacker może prowadzić do bardzo poważnych konsekwencji.

   

Browser hijacking nie zawsze jest taki sam, gdyż autorom złośliwego oprogramowania przyświecają różne cele. Niektóre niechciane dodatki do przeglądarek powodują głównie irytację, poprzez spowolnienie pracy i wyświetlanie nachalnych reklam. Inne mogą celowo prowadzić pracowników do fałszywych stron, które służą kradzieży danych logowania i innych poufnych informacji. W szczególnie groźnych przypadkach hijacker stanowi furtkę dla oprogramowania śledzącego, np. keyloggera, który może śledzić każdy ruch i rejestrować m.in. dane logowania do systemów.

 

W środowisku firmowym skutki takich ataków mogą być bardzo poważne. Kliknięcie w zainfekowany link może zagrozić bezpieczeństwu całej infrastruktury IT firmy. Dzięki tej technice hakerzy mogą zyskać też dostęp do systemów finansowych, danych tysięcy klientów oraz wewnętrznych skrzynek mailowych.

 

W przypadku firm obsługujących dane osobowe wyciek danych może prowadzić nie tylko do strat wizerunkowych, ale także do poważnych konsekwencji prawnych i kar finansowych. Nie wolno bagatelizować nawet drobnych sygnałów np. zmienionej strony startowej, niecodziennych wyników wyszukiwania, nasilenia się wyświetlanych reklam oraz innych anomalii. W firmie, gdzie każdy komputer jest elementem większego systemu, nawet pojedynczy przypadek hijackingu może szybko zamienić się w realne zagrożenie dla całej organizacji.

   

Niestety, nie ma jednej, sprawdzonej metody na usunięcie hijackera. Z popularnymi złośliwymi programami powinien poradzić sobie dobrej jakości antywirus, który wykryje i zneutralizuje zagrożenie lub pozwoli przeskanować komputer w poszukiwaniu tego rodzaju aplikacji. Jeśli to nie pomoże, warto ręcznie przejrzeć zainstalowane na komputerze programy i zwyczajnie odinstalować te, które wyglądają podejrzanie. Na rynku nie brakuje też dedykowanych narzędzi do wykrywania tego rodzaju zagrożeń, należy jednak zachować szczególną ostrożność podczas wyboru odpowiedniego. Przykładem ataku z wykorzystaniem tego typu narzędzi może być incydent w CCleaner, gdzie hakerzy wprowadzili backdoor do instalatora i uzyskali zdalny dostęp do ponad 2 milionów komputerów użytkowników.

 

W przypadku hijackerów zainstalowanych jako wtyczki i rozszerzenia przeglądarki, można obrać podobną taktykę, usuwając lub wyłączając te z nich, których zwyczajnie nie znamy. Warto dokładnie przeanalizować listę zainstalowanych rozszerzeń, ponieważ złośliwe oprogramowanie często ukrywa się pod neutralnie brzmiącymi nazwami.

 

Warto również przejrzeć aplikacje, które włączają się automatycznie przy starcie komputera i przeanalizować działające procesy, w ten sposób można wyłapać podejrzany ruch. Kolejnym krokiem powinno być przywrócenie domyślnych ustawień przeglądarki lub cofnięcie jej stanu do momentu sprzed ataku. Cały proces powinien zostać przeprowadzony przez administratora IT lub zespół odpowiedzialny za bezpieczeństwo cyfrowe, aby zapewnić, że nie tylko dany komputer, ale również pozostałe elementy infrastruktury nie zostały naruszone.

   

Skuteczna ochrona firmowych komputerów przed atakami typu browser hijacking wymaga wprowadzenia i egzekwowania podstawowych zasad cyberbezpieczeństwa wśród pracowników. Jak wykazaliśmy w tym artykule, w wielu przypadkach hijackingu da się uniknąć, zachowując czujność i rozważnie korzystając z sieci.

 

Kluczem jest wdrożenie odpowiednich procedur, które można podsumować w kilku punktach:

 

• Jasna polityka dotycząca instalowania nowego oprogramowania z dowolnego źródła (instalacja możliwa wyłącznie za zgodą upoważnionej osoby), która dotyczy również urządzeń mobilnych i rozwiązań MDM. Jednym z lepszych sposobów jest wdrożenie modelu COPE (Company-Owned, Personally Enabled – to firma wybiera sprzęt i instaluje odpowiednie oprogramowanie, ograniczając pracownikowi możliwość ściągania innych programów, aplikacji itp.).


• Ustalone zasady korzystania z sieci firmowej, w tym zakaz odwiedzania podejrzanych stron, korzystania z niezweryfikowanych wyszukiwarek oraz pobierania plików z niesprawdzonych źródeł.


• Regularne szkolenia pracowników z zakresu security awareness zwiększające świadomość zagrożeń i poprawiające zdolność rozpoznawania schematów związanych z phishingiem i innymi popularnymi atakami.


• Regularne aktualizacje systemów operacyjnych, przeglądarek i narzędzi oraz okresowe audyty bezpieczeństwa, pozwalające na szybką identyfikację potencjalnych luk i ich natychmiastowe usunięcie.

 

Oprócz wprowadzenia wewnętrznych regulacji konieczne jest korzystanie z dostępnych na rynku rozwiązań bezpieczeństwa (przynajmniej tych podstawowych) – zarówno na poziomie sieci, jak i endpointów. Niektóre z dostępnych narzędzi pozwalają uniknąć zagrożeń w bezpośredni sposób, a także pomagają egzekwować ustalone w firmie zasady. Przykładem jest dobrej klasy firewall dostarczany m.in. w formie usługi Netia Cloud Firewall oraz Managed UTM. Cloud Firewall to zapora sieciowa oferująca kompleksową ochronę firmowej sieci poprzez blokowanie złośliwego oprogramowania, kontrolę aplikacji, a także filtrowanie dostępu do niebezpiecznych stron internetowych.

 

Biorąc pod uwagę, że głównym wektorem ataków dotykających firmy jest skrzynka e-mail, polecamy także usługę Netia Ochrona Poczty. To rozwiązanie zabezpiecza firmową pocztę elektroniczną przed SPAM-em, phishingiem oraz pozwala filtrować załączniki – zarówno wchodzące, jak i wychodzące – w poszukiwaniu złośliwego oprogramowania czy wycieków danych.

 

Usługa kontrolowanych ataków phishingowych przeprowadzanych przez profesjonalistów, według ściśle opracowanego scenariusza, pozwalają sprawdzić reakcję pracowników na podejrzane wiadomości i inne zagrania oszustów.