AVLab: Тестирование защиты онлайн-платежей в антивирусах

2017-02-17 | Автор | комментарии
Лаборатория AVLab провела тестирование антивирусов, которые имеют модуль защиты онлайн-платежей или "защищенный браузер", против различных видов угроз и атак при совершении финансовых операций в Интернете

AVLab: Тестирование защиты онлайн-платежей в антивирусах

В январе и феврале 2017 года эксперты AVLab провели тестирование нескольких антивирусных продуктов, которые имеют модуль защиты онлайн-платежей. Многие инструменты защиты интегрированы непосредственно в тестируемые приложения. Единственным исключением является автономный модуль “Bitdefender Safepay” - компонент можно использовать как отдельный продукт, совместно с другим антивирусом.

В отчете указаны результаты тестирования защиты от:

  • перехвата и изменения данных в буфере обмена системы
  • перехвата клавиатурных нажатий
  • инъекции вредоносных DLL библиотек в процессы
  • извлечения конфиденциальной информации из ОЗУ (пароли, логины, реквизиты банковских карт)
  • перехвата учетных данных с HTTPS сайтов

Тестируемые антивирусы

Антивирус Версия
QIHOO 360 Total Security 9.0.0.1085
ARCABIT Internet Security 2017.01.23
AVAST Free Antivirus 12.03.2280
AVAST Premier 12.03.2280
BITDEFENDER Safepay 2.0.0.744
BITDEFENDER Total Security 2017 21.0.22.1050
COMODO Internet Security Premium 10.0.0.6092
ESET NOD32 Smart Security Premium 10.0.386.2
F-SECURE Safe 2.76.211.0
G DATA Total Security 25.3.0.1
KASPERSKY Total Security 2017 17.00.611

Общая информация

Основная цель испытания заключалась в проверке эффективности защиты так называемых “защищенных браузеров” против различных видов угроз и атак при совершении финансовых операций в Интернете, а также при посещении сайтов, защищенных сертификатом SSL.

Тест проходит в 2 основных этапа:

  1. На первом этапе эксперты лаборатории проверяли эффективность защиты платежей при отключенной антивирусной защите. Данный тест должен был подтвердить важность использования всех доступных функций безопасности при проведении электронных платежей.
  2. На втором этапе (стандартные настройки) в тестируемых антивирусных продуктах были включены все защитные механизмы. Таким образом, эксперты могли сравнить эффективность защиты онлайн-платежей в случаях с включенными и отключенными компонентами.

В тесте принимали участие антивирусы Arcabit, Avast, Bitdefender, Comodo, Eset, F-Secure, G Data, “Лаборатории Касперского” и Qihoo. По результатам тестирования AVLab может рекомендовать для защиты только решения от Arcabit, Comodo и “Лаборатории Касперского”.

В тесте эксперты AVLab применяли интерпретатор системных команд PowerShell и вредоносные скрипты, написанные на языке Python. Эти тестовые инструменты использовались для проверки эффективности встроенных механизмов безопасности “защищенных браузеров” и “виртуальных сред” против кейлоггеров, перехвата данных буфера обмена, извлечения важных данных из памяти, редактирования файла HOSTS и MITM-атак.

Методология

В тесте использовались вредоносные программы, работающие в системах Windows.

Процедура тестирования:

  1. Установка тестируемого продукта на подготовленную систему Windows 10 x64.
  2. Последовательный запуск проверочных процедур: Тест 1, Тест 2, Тест 3, … Тест 14.
  3. Сохранение результатов и возвращение к 1 шагу.

Чтобы соблюсти принцип равенства, эксперты AVLab решили проверять все интегрированные с антивирусами браузеры в идентичной тестовой среде. Единственным исключением является Bitdefender Safepay, потому что данный продукт может работать с любым сторонним антивирусом.

Следуя данному принципу, все решения были протестированы в одинаковых условиях в соответствии с одинаковым алгоритмом проведения процедуры.

В тесте эксперты AVLab использовали скрипты, написанные на языке Python, интерпретатор системных команд PowerShell и распространенные инструменты для Linux. Все тестовые вредоносные скрипты, которые использовались для проверки, не обнаруживались с помощью сигнатурной системы обнаружения. Таким образом, можно утверждать, что антивирусы не могли обнаружить тестовые образцы.

Тестовые случаи

Тест 1: в данном тесте проверялась возможность перехвата содержимого буфера обмена при перемещении скопированных данных из буфера в “защищенный браузер” или в “виртуальную среду”.

Тест 2: в данном тесте проверялась возможность перехвата содержимого буфера обмена при перемещении скопированных данных из “защищенного браузера” или из “виртуальной среды” в систему Windows.

Тест 3: в данном тесте проверялась возможность перехвата содержимого буфера обмена вирусом, работающим в системе Windows, при копировании данных из буфера во вкладки “защищенного браузера” или в “виртуальную среду”.

Тест 4: в данном тесте проверялась возможность подмены номера банковского аккаунта в буфере обмена при копировании информации из мессенджера, сообщения электронной почты, счета в виде PDF файла или из сайта в “защищенный браузер” или в “виртуальную среду”.

Тест 5: в данном тесте проверялась возможность регистрации клавиатурных нажатий вредоносной программой при авторизации на сайте интернет-банкинга.

Тест 6: в данном тесте проверялась возможность снятия скриншотов вредоносной программой при авторизации на сайте интернет-банкинга.

Тест 7: в данном тесте проверялась возможность извлечения конфиденциальной информации из памяти ОЗУ, например, реквизитов кредитных карт, паролей и др. при посещении HTTPS сайтов.

Тест 8: в данном тесте проверялась возможность инъекции вредоносных библиотек DLL в процессы “защищенного браузера” или “виртуальной среды” при посещении HTTPS сайтов.

Тест 9: в данном тесте проверялась возможность инъекции кода HTML и JavaScript в веб-сайты HTTP при их посещении.

Тест 10: в данном тесте проверялась возможность изменения исходного кода отображаемого веб-сайта при посещении HTTP сайтов.

Тест 11: в данном тесте проверялась возможность перенаправления (редиректа) пользователя на другой IP-адрес при посещении HTTPS сайтов.

Тест 12: в данном тесте проверялась возможность перехвата конфиденциальной информации с HTTPS сайтов с подтвержденными сертификатами SSL.

Тест 13: в данном тесте проверялась возможность организации удаленного подключения во время активной сеанса посещения банковского сайта в “защищенном браузере” или в “виртуальной среде”.

Тест 14: в данном тесте проверялась возможность изменения содержимого файла HOSTS при использовании в “защищенного браузера” или в “виртуальной среды”.

Результаты тестирования

При совершении онлайн-платежей пользователи особенно подвержены краже конфиденциальных данных третьими лицами и вредоносными программами. Протестированные AVLab решения не защищают от MITM-атак. Исключениями стали Arcabit Internet Security, Kaspersky Total Security и ESET NOD32 Smart Security 10, которые при проверке защиты от модификации таблиц ARP, смогли предотвратить загрузку данных между тестовым компьютером с некорректным MAC-адресом и маршрутизатором. В этих случаях для успешной организации атаки злоумышленник или вредоносная программа должны быть посредниками между компьютером жертвы и целевым источником, например, интернет-банкингом или компьютером. Данные атаки могут быть очень эффективны, а обнаружить их действительно сложно.

Большинство протестированных решений не защищают сеансы онлайн транзакций от потенциальных хакерских атак и вредоносных программ в общественных сетях, которые не распознаются модулями защиты реального времени и поведенческой защиты.

Все модули защиты отключены

Тестирование защиты онлайн-платежей в антивирусах. Все модули защиты отключены

На первом этапе эксперты лаборатории проверяли эффективность защиты платежей при отключенной антивирусной защите. Данный тест должен был подтвердить важность использования всех доступных функций безопасности при проведении электронных платежей

Антивирусная защита с настройками по умолчанию

Тестирование защиты онлайн-платежей в антивирусах. Антивирусная защита с настройками по умолчанию

На втором этапе (стандартные настройки) в тестируемых антивирусных продуктах были включены все защитные механизмы. Таким образом, эксперты могли сравнить эффективность защиты онлайн-платежей в случаях с включенными и отключенными компонентами

Рекомендуемые антивирусы

Оказывается, что эвристический или поведенческий анализ, который проверяет подозрительные активности с помощью эмулятора процессов, проверяет API вызовы и их контрольные суммы, не гарантирует максимальную защиту. Хотя ни один из протестированных продуктов не получил максимальный рейтинг, эксперты AVLab могут порекомендовать следующие антивирусы:

AVLab: Тестирование защиты онлайн-платежей в антивирусах

Arcabit Internet Security - за инновационный подход в защите личных данных в Интернете. Польские разработчики применили нестандартные механизмы защиты своего браузера, что позволило предотвратить запуск нежелательных процессов во время его работы.

AVLab: Тестирование защиты онлайн-платежей в антивирусах

Comodo Internet Security - за безопасную среду выполнения, которая должным образом защищает транзакции в сети. Тем не менее, пользователи не должны забывать об уязвимости мобильных устройств к MITM-атакам и должны использовать VPN и соблюдать правила безопасного серфинга при использовании публичных сетей.

Kaspersky Total Security - за комплексную защиту, которая гарантирует высокий уровень безопасности против моделируемых атак и угроз при использовании стандартных настроек.

AVLab: Тестирование защиты онлайн-платежей в антивирусах

ESET NOD32 Smart Security - за эффективную защиту от заражения ARP таблиц. Решение словацких разработчиков продемонстрировало высокую эффективность защиты данных против MITM-атак.

С полным отчетом вы можете ознакомиться по этой ссылке (pdf, на английском языке).

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества