Сайты могут использовать дыры безопасности в браузерах или плагинах браузера, чтобы избежать этих песочниц. Вредоносные веб-сайты также попытаются использовать тактику социальной инженерии, чтобы обмануть вас.
Небезопасные плагины для браузера
Большинство людей, которые скомпрометированы через браузеры, скомпрометированы через плагины своих браузеров. Ядро Oracle - наихудший, самый опасный преступник. Недавно Apple и Facebook столкнулись с внутренними компьютерами, поскольку они обращались к веб-сайтам, содержащим вредоносные апплеты Java. Их плагины Java могли быть полностью обновлены - это не имело бы никакого значения, поскольку последние версии Java по-прежнему содержат уязвимости безопасности, не прошедшие проверку.
Чтобы защитить себя, вы должны полностью удалить Java. Если вы не можете, потому что вам нужна Java для настольного приложения, такого как Minecraft, вы должны по крайней мере отключить плагин для браузера Java, чтобы защитить себя.
Другие плагины браузеров, в частности, Adobe Flash Player и плагины для чтения PDF, также регулярно исправляют уязвимости безопасности. Adobe стала лучше, чем Oracle, в ответ на эти проблемы и исправление своих плагинов, но все же часто слышно об использовании новой уязвимости Flash.
Плагины - это сочные цели. Уязвимости в плагинах могут быть использованы во всех браузерах с плагином во всех разных операционных системах. Уязвимость Flash-плагина может использоваться для использования Chrome, Firefox или Internet Explorer в Windows, Linux или Mac.
Чтобы защитить себя от уязвимостей плагина, выполните следующие действия:
- Используйте веб-сайт, например, плагин Firefox, чтобы узнать, есть ли у вас устаревшие плагины. (Этот сайт был создан Mozilla, но он также работает с Chrome и другими браузерами.)
- Немедленно обновите любые устаревшие плагины. Обновляйте их, обеспечивая автоматическое обновление для каждого подключаемого модуля.
- Удалите плагины, которые вы не используете. Если вы не используете плагин Java, вы не должны устанавливать его. Это помогает уменьшить вашу «поверхность атаки» - объем программного обеспечения, доступного вашему компьютеру для использования.
- Подумайте об использовании функции плагинов для подключения к клику в Chrome или Firefox, что предотвратит запуск плагинов, за исключением случаев, когда вы специально запрашиваете их.
- Убедитесь, что вы используете антивирус на своем компьютере. Это последняя линия защиты от уязвимости «нулевого дня» (новая уязвимость без доступа) в плагине, которая позволяет злоумышленнику устанавливать вредоносное программное обеспечение на вашем компьютере.
Защитные отверстия для браузера
Уязвимости в самих веб-браузерах также могут позволить вредоносным веб-сайтам поставить под угрозу ваш компьютер. Веб-браузеры в основном очистили свои действия, а уязвимости в плагинах в настоящее время являются основным источником компромиссов.
Тем не менее, вы должны постоянно поддерживать свой браузер. Если вы используете старую, неподдерживаемую версию Internet Explorer 6 и вы посещаете менее авторитетный веб-сайт, веб-сайт может использовать уязвимости в вашем браузере для установки вредоносного программного обеспечения без вашего разрешения.
Защита самого себя от уязвимостей безопасности браузера проста:
- Обновите свой веб-браузер. Все основные браузеры теперь автоматически проверяют наличие обновлений. Оставьте включенную функцию автоматического обновления защищенной. (Internet Explorer обновляется через Центр обновления Windows. Если вы используете Internet Explorer, актуальным является обновление обновлений для Windows.)
- Убедитесь, что на вашем компьютере установлен антивирус. Как и в случае с плагинами, это последняя линия защиты от уязвимости в нулевой день в браузере, которая позволяет вредоносным программам проникать на ваш компьютер.
Социально-технические трюки
Вредоносные веб-страницы пытаются обмануть вас в загрузке и запуске вредоносного ПО. Они часто делают это, используя «социальную инженерию» - другими словами, они пытаются скомпрометировать вашу систему, убеждая вас позволить им участвовать в ложных предлогах, а не компрометировать ваш браузер или плагины.
Этот компромисс не ограничивается только вашим веб-браузером - вредоносные сообщения электронной почты могут также попытаться обмануть вас в открытии небезопасных вложений или загрузке небезопасных файлов. Тем не менее, многие люди заражены всем: от рекламного ПО и отвратительных панелей инструментов браузера до вирусов и троянов с помощью социальных трюков, которые происходят в их браузерах.
Элементы управления ActiveX: Internet Explorer использует элементы управления ActiveX для своих плагинов браузера. Любой веб-сайт может предложить вам загрузить элемент управления ActiveX. Это может быть законным - например, вам может потребоваться загрузить элемент управления ActiveX Flash Player при первом запуске Flash-видео в Интернете. Тем не менее, элементы управления ActiveX аналогичны любым другим программам вашей системы и имеют разрешение покинуть веб-браузер и получить доступ к остальной части вашей системы. Злоумышленный веб-сайт, нажимая опасный элемент управления ActiveX, может сказать, что элемент управления необходим для доступа к некоторому контенту, но может фактически существовать для заражения вашего компьютера. Если вы сомневаетесь, не соглашайтесь на запуск элемента управления ActiveX.
- Автоматическая загрузка файлов: Вредоносный веб-сайт может попытаться автоматически загрузить EXE-файл или другой тип опасного файла на ваш компьютер в надежде, что вы его запустите. Если вы специально не запрашивали загрузку и не знаете, что это такое, не загружайте автоматически загружаемый файл и спрашиваете, где его сохранить.
- Поддельные ссылки для скачивания: На сайтах с плохими рекламными сетями - или на сайтах, где найден пиратский контент, вы часто увидите рекламу, имитирующую кнопки загрузки. Эти рекламные объявления пытаются обмануть людей в загрузку чего-то, чего они не ищут, маскируясь как реальная ссылка для скачивания. Есть неплохие ссылки, такие как вредоносные программы.
«Вам нужен плагин для просмотра этого видео»: Если вы наткнетесь на веб-сайт, в котором говорится, что вам нужно установить новый подключаемый модуль или кодек для воспроизведения видео, будьте осторожны. Вам может понадобиться новый плагин для браузера для некоторых вещей - например, вам нужен плагин Silverlight от Microsoft для воспроизведения видео на Netflix, но если вы находитесь на менее авторитетном веб-сайте, который хочет, чтобы вы загружали и запускали EXE-файл, чтобы вы могли играть их видео, есть хороший шанс, что они пытаются заразить ваш компьютер вредоносным программным обеспечением.
«Ваш компьютер заражен»: Вы можете видеть рекламные объявления о том, что ваш компьютер заражен, и настаивая на необходимости загрузки EXE-файла для очистки. Если вы загрузите этот EXE-файл и запустите его, ваш компьютер, вероятно, будет заражен.
Это не исчерпывающий список. Злобные люди постоянно ищут новые способы обмануть людей.
Как всегда, запуск антивируса может помочь вам защитить вас, если вы случайно загрузите вредоносную программу.
Это способы, которыми средний пользователь компьютера (и даже сотрудники в Facebook и Apple) имеют свои компьютеры, «взломанные» через свои браузеры. Знание - это сила, и эта информация должна помочь вам защитить себя в Интернете.
