Добавить в корзинуПозвонить
Найти в Дзене

Пять атак, которые «живут» только в браузере, и что с ними делать

ИБ-индустрия научилась детектировать вредоносы, но запуск файла больше не обязательное условие для атаки: почта, документы, CRM — всё в вебе, и атаки переехали туда же, маскируясь под обычные действия пользователя. Классический антивирус молчит не потому, что ничего не происходит, а потому что не видит. Однако параллельно туда же сместился и слой защиты: корпоративные браузеры контролируют то, что недоступно EDR на эндпоинте, — расширения, сессии, поведение в вебе. Дальше — пять характерных атак и что по каждой закрывать. Атака №1: Угон сессии Как выглядит: Сотрудник зашёл в почту через браузер, вредоносное расширение перехватило сессию — атакующий заходит в сервис как сотрудник, иногда без пароля и 2FA. Чем опасна: Для службы безопасности это просто «вход пользователя». Что мониторить: Входы из другой страны и с необычных IP, всплески активности после входа (массовые скачивания, рассылки), новые устройства. Отдельно — расширения: именно через них чаще всего и происходит угон, поэтому

Пять атак, которые «живут» только в браузере, и что с ними делать

ИБ-индустрия научилась детектировать вредоносы, но запуск файла больше не обязательное условие для атаки: почта, документы, CRM — всё в вебе, и атаки переехали туда же, маскируясь под обычные действия пользователя. Классический антивирус молчит не потому, что ничего не происходит, а потому что не видит. Однако параллельно туда же сместился и слой защиты: корпоративные браузеры контролируют то, что недоступно EDR на эндпоинте, — расширения, сессии, поведение в вебе. Дальше — пять характерных атак и что по каждой закрывать.

Атака №1: Угон сессии

Как выглядит: Сотрудник зашёл в почту через браузер, вредоносное расширение перехватило сессию — атакующий заходит в сервис как сотрудник, иногда без пароля и 2FA.

Чем опасна: Для службы безопасности это просто «вход пользователя».

Что мониторить: Входы из другой страны и с необычных IP, всплески активности после входа (массовые скачивания, рассылки), новые устройства. Отдельно — расширения: именно через них чаще всего и происходит угон, поэтому набор разрешённых лучше держать под белым списком на уровне браузера (это, например, штатно делается в Яндекс Браузере для организаций через групповые политики).

Атака №2: OAuth-фишинг

Как выглядит: Сотруднику присылают ссылку «подключи удобного бота». Открывается официальное окно, сотрудник жмёт «Разрешить» — вредоносное приложение читает почту через API.

Чем опасна: Сотрудник сам «доверяет доступ», признаков взлома нет.

Что мониторить: Новые OAuth-приложения с широкими правами и массовые выгрузки сразу после выдачи разрешения.

Атака №3: Фишинг, обходящий многофакторную аутентификацию (через посредника)

Как выглядит: Сотрудник вводит пароль и код из SMS на «почти настоящей» странице, его перекидывает в реальный сервис — внешне всё нормально. Но между ним и сервисом стоял «посредник» (reverse proxy), укравший токен входа.

Чем опасна: Атакующие обошли многофакторку.

Что мониторить: Входы с подозрительных IP и нетипичные действия после: вместо переписки — экспорты и настройка правил.

Атака №4: «Тихий» угон почты

Как выглядит: Получив доступ, атакующий не пишет писем сразу, а создаёт скрытые правила: например, письма от директора автоматически удалять или перемещать, включить пересылку на внешний адрес.

Чем опасна: Никто ничего не замечает, пока не наступают последствия — например, бухгалтер переводит мошенникам деньги после письма с ящика начальника.

Что мониторить: Новые почтовые правила (особенно на удаление и пометку «прочитано»), внешнюю пересылку, изменения автоответчиков. Сюда же — события из корпоративного браузера: входы, изменения настроек.

Атака №5: Утечка без скачивания

Как выглядит: злоумышленник зашёл в CRM как пользователь и выносит данные без единого файла: копирует и вставляет к себе, экспортирует таблицу «внутри сервиса», делает публичную ссылку, отправляет данные в AI-чат «чтобы сформулировать письмо».

Чем опасна: классические DLP завязаны на контроль скачивания файлов. Нет скачивания — нет утечки.

Что мониторить: Массовые просмотры карточек за короткое время, экспорты, расшаривания и публичные ссылки, доступ к разделам «не по роли».

Что ставить на контроль прямо сейчас?

Смотреть надо на идентичность и облачные сервисы:

1. Входы: откуда, с какого устройства, насколько необычно.

2. Почта и облака: правила, пересылки, расшаривания, массовые экспорты.

3. OAuth-разрешения: кто и кому выдал доступ к корпоративным данным.

Часть таких угроз закрывают корпоративные браузеры типа яндексового. Последний проверяет и блокирует вредоносные расширения, ловит фишинг нейросетью, ограничивает копирование данных между вкладками, защищает от утечки через скриншоты и захват окна, пускает в критичные ресурсы только из управляемого окружения, отдаёт события в SIEM и SOAR. То есть закрывает зоны, в которых антивирус и EDR ничего не видят.

#кибербезопасность #браузер