浏览器存储数据。这意味着它们可以获取和篡改用户的设置、账户信息等敏感数据。
5. 如何保护自己免受恶意 Chrome 扩展的侵害?
以下是保护自己免受恶意 Chrome 扩展侵害的一些建议:
只安装信任的扩展:在安装扩展之前,仔细检查扩展的评价和评级,确保其来自可信的开发者和来源。尽量避免安装未经验证的和不可信的扩展。
仔细审查权限:在安装扩展时注意审查所请求的权限,确保其与扩展的功能和用途相符合。避免安装具有过多和不必要权限的扩展。
定期检查扩展:定期检查已安装的扩展,确保其正常运行且没有异常行为。如果发现任何可疑活动或问题,应立即删除该扩展。
及时更新扩展:及时更新已安装的扩展,以获取最新的安全补丁和功能改进。同时,确保浏览器和操作系统也是最新版本。
使用安全浏览器:使用安全性高的浏览器,如 Google Chrome,并启用浏览器的安全功能和设置。如弹窗拦截、安全浏览器、自动更新等。
安装安全软件:在设备上安装可信的安全软件和防病毒软件,以提供额外的保护和检测恶意扩展。
6. 交易平台如何保护用户免受恶意 Chrome 扩展的侵害?
以下是交易平台保护用户免受恶意 Chrome 扩展侵害的一些建议:
教育用户:向用户提供关于 Chrome 扩展的基础知识和潜在风险的教育,帮助他们了解如何安全地使用和管理扩展。
验证扩展:在交易平台上提供经过验证的和可信的扩展,确保用户安装的扩展来自可信的来源。同时,对已安装的扩展进行定期的安全审查和检查。
监控异常行为:监控用户账户和交易活动,及时发现和阻止任何异常行为和可疑活动。如异常资金转移、未授权的扩展访问等。
提供安全功能:为用户提供安全功能和设置,如双重身份验证、IP 地址绑定、设备绑定等。增加账户和资产的安全性。
建立合作关系:与安全团队和专业机构合作,共同监测和防范恶意扩展的威胁。及时分享和获取最新的安全情报和威胁信息。
通过以上措施,交易平台可以提高用户账户和资产的安全性,保护用户免受恶意 Chrome 扩展的侵害。本地数据,包括可能包含敏感信息的浏览器存储(如 LocalStorage 和 IndexedDB)。
操作剪贴板:通过 clipboardRead 和 clipboardWrite 权限,恶意扩展可以读取和写入用户的剪贴板内容,从而窃取或篡改用户复制粘贴的信息。
伪装成合法网站:恶意扩展可以通过修改浏览器的内容或重定向用户访问的网页,伪装成合法网站,诱导用户输入敏感信息。
长期后台运行:具有 background 权限的恶意扩展可以在后台持续运行,即使用户没有主动使用它们。这使得它们可以长时间监控用户的活动,收集大量数据。
操作下载:使用 downloads 权限,恶意扩展可以下载和执行恶意文件,进一步危及用户的系统安全。
5. 为什么这次恶意扩展的受害者会被盗取权限和资金受损?
因为这次恶意的 Aggr 扩展刚好获得了上面我们聊到的背景信息,以下是这个恶意插件 manifes.json 文件 permissions 内容片段:
cookies
tabs
storage
6.恶意 Chrome 扩展盗取用户的 cookies 后,能做哪些操作?
访问账户:恶意扩展可以使用盗取的 cookies 模拟用户登录交易平台账户,从而访问用户的账户信息,包括余额、交易历史等。
进行交易:盗取的 cookies 可能允许恶意扩展在未经用户同意的情况下进行交易,购买或出售加密货币,甚至将资产转移到其他账户。
提取资金:如果 cookies 包含会话信息和认证令牌,恶意扩展可能绕过二次验证(2FA),直接发起资金提取,将用户的加密货币转移到攻击者控制的钱包中。
访问敏感信息:恶意扩展可以访问和收集用户在交易平台账户中的敏感信息,如身份验证文件、地址等,可能用于进一步的身份盗窃或诈骗活动。
修改账户设置:恶意扩展可以更改用户的账户设置,如绑定的电子邮件地址、手机号码等,进一步控制账户和窃取更多信息。
冒充用户进行社会工程攻击:利用用户账户进行社会工程攻击,如向用户的联系人发送诈骗信息,诱导他们进行不安全的操作或提供更多敏感信息。
应对措施
看到这,广大用户可能会想,那怎么办,直接断网不玩了?用单独的电脑做操作?不用网页登陆平台?网络上出现了很多一棍子打死的说法,但其实我们可以学习如何合理防范这类风险:
个人用户的应对措施:
增强个人安全意识:第一个防范建议是增强个人安全意识,始终保持怀疑的态度。
仅安装可信来源的扩展:从 Chrome 网上应用店或其他可信来源安装扩展,并阅读用户评价和权限请求,尽量不授予扩展不必要的访问权限。
使用安全的浏览器环境:避免安装不明来源的扩展,并定期审查和删除不必要的扩展,安装不同的浏览器,隔离插件浏览器和交易资金浏览器。
定期检查账户活动:定期检查账户登录活动和交易记录,发现可疑行为立即采取措施。
记得退出登录:使用完网页操作平台后要记得退出。很多人为了方便,在登录平台完成操作后,不点击退出登录,这个习惯存在安全风险。
使用硬件钱包:对于大额资产,使用硬件钱包进行存储,以提高安全性。
浏览器设置和安全工具:使用安全的浏览器设置和扩展(如广告拦截器、隐私保护工具)减少恶意扩展的风险。
使用安全软件:安装和使用安全软件来检测和防止恶意扩展和其他恶意软件作恶。
最后是给平台的风控建议,通过这些措施,交易平台可以降低恶意 Chrome 扩展给用户带来的安全风险:
强制使用二次验证(2FA):
– 全局启用 2FA:要求所有用户在登录和进行重要操作(如交易、下单、提取资金)时启用二次验证(2FA),确保即使用户的 cookies 被盗,攻击者也无法轻易访问账户。
– 多种验证方式:支持多种二次验证方式,如短信、电子邮件、Google Authenticator 和硬件令牌等。
会话管理和安全:
– 设备管理:提供用户查看和管理已登录设备的功能,让用户可以随时注销不明设备的会话。
– 会话超时:实施会话超时策略,对长时间未活动的会话进行自动注销,减少会话被盗用的风险。
– IP 地址和地理位置监控:检测和提醒用户来自异常 IP 地址或地理位置的登录尝试,并在必要时阻止这些登录。
强化账户安全设置:
– 安全通知:即时向用户发送有关账户登录、密码更改、资金提取等重要操作的通知,可以通过邮件或短信提醒用户异常活动。
– 账户冻结功能:提供紧急情况下用户可以快速冻结账户的选项,控制受损范围。
加强监控和风控系统:
– 异常行为检测:使用机器学习和大数据分析监控用户行为,识别异常交易模式和账户活动,及时进行风控干预。
– 风控预警:对频繁更改账户信息、频繁尝试登录失败等可疑行为进行预警和限制。
为用户提供安全教育和工具:
– 安全教育:通过官方社交账号、电子邮件、平台内通知等渠道向用户普及安全知识,提示用户注意浏览器扩展的风险和如何保护账户。
– 安全工具:提供官方的浏览器插件或扩展,帮助用户增强账户安全,检测并提醒用户可能存在的安全威胁。
结语
坦白说,从技术的角度来看,很多时候把上文提到的风控措施都做了,可能并不是最好的方式。安全和业务需要平衡,安全太重,用户体验会不好,比如下单时需要二次认证,很多用户为了下单快,索性关掉! 结果是方便了自己也方便了黑客,因为一旦 cookies 被盗,不能提币,黑客就可以玩对敲,造成用户资产受损。所以针对不同的平台和用户,采取风控的方式也不相同。至于安全与业务的平衡点在哪,不同的平台有不同的考量,希望平台在考虑用户体验的同时,也能保护好用户账户和资产的安全。