譯者 | 陳峻

審校 | 孫淑娟

表單抓取（Form-Grabbing）類惡意軟件每天都在悄無聲息地感染著數千臺計算機。而就在您的不經意之間，這種惡意軟件竊取到了您的敏感數據，進而向其他的惡意黑客授予對您的計算機的訪問權限，以便他們能進一步向您發送垃圾郵件，或竊取您更多的信息。

什么是表單抓取類惡意軟件?

此類表單抓取類惡意軟件往往是專門針對從瀏覽器的頁面上捕獲Web表單數據（如：用戶名、密碼和其他個人信息）而設計的。

盡管鍵盤記錄器（keylogger）至今仍會被用來竊取管理員的數據，但是表單抓取可謂獲取瀏覽器憑據的最常見方式之一。它們主要被用于用戶通過互聯網，與銀行網站的安全服務器交互之前，從表格中識別并竊取重要數據信息。

與鍵盤記錄器不同，即使用戶的數據和憑據只是通過粘貼，自動填充，以及使用虛擬鍵盤輸入的，也會被表單抓取器所獲取到。這些被收集到的信息隨后會被存儲，進而傳輸到特定的服務器上。

表單抓取的發展史

雖然此項技術誕生于2003年，但是直到2007年的Zeus出現之后，表單抓取才被認為是一種主要的惡意軟件攻擊。該惡意軟件往往會被嵌入到發送給多個收件人的電子郵件中。此類郵件的目標就是要讓人們錯誤地認為，它們來自信譽良好的銀行或公司。從2011年被公布于世的Zeus源代碼來看，它能夠允許創建不同版本的木馬。

盡管初代Zeus的代碼已經被淘汰，但是由其產生的、非常惡劣的表單抓取類惡意軟件，至今仍在互聯網上肆虐。其中最為著名的當屬SpyEye。SpyEye使用的便是其前身Zeus的相關代碼，并以網絡瀏覽器為目標，通過記錄擊鍵，在用戶登錄銀行門戶時，竊取其憑據和授權。

SpyEye非常難以被察覺和追蹤到。它主要通過來自不安全的網站鏈接、以及垃圾郵件的方式，潛入您的計算機，進而主動發起交易，竊取資金，并將其發回給其創建者。

表單抓取類惡意軟件的工作原理

如前所述，一種成功的抓取表單軟件的關鍵是，在瀏覽器和網絡棧之間插入惡意軟件，以便在數據被加密之前，就攔截內容。

首先，它需要在瀏覽器中安裝瀏覽器幫助對象（Browser Helper Object，BHO）。這允許惡意軟件尋找對于HttpSendRequest函數的調用。而HttpSendRequest函數主要負責建立到互聯網的連接，并將HTTP請求發送到指定的站點處。

惡意軟件通常會在每次啟動時將??動態鏈接庫文件??? (Dynamic Link Library files，DLL??) ??輸入到瀏覽器中。同時，此類惡意軟件還會更改HTTP函數，通過重新配置它們，以允許在入棧之前，將請求發送到含有木馬的代碼所有者那里。

如何免受表單抓取類惡意軟件的侵害

對付表單抓取器的最有效方法之一，便是安裝帶有病毒簽名的防護軟件。此外，限制用戶的權限，以防止下載BHO，則是防止木馬程序入侵系統的另一種策略。

安裝病毒防護軟件

防病毒軟件可以通過掃描來自互聯網的流量，并根據已知的威脅，標記出那些可疑的交互，進而盡快地阻止惡意軟件的自我植入，以及木馬程序的彈窗。同時，若要使得防病毒軟件能夠有效地抵御表單抓取之類的惡意程序，則需要通過持續更新的方式，來防范最新形式的惡意軟件。

當然，有些程序可能會直接強制您使用手動的檢查方式。不過，由于人工判斷能力的不同，有時候這種做法會讓那些處于遠程設備上的惡意軟件被輕易地忽略掉，而不被發現。而更糟糕的是，在大多數時候，即使防病毒軟件檢測到了木馬惡意軟件，也只是會將它們置于隔離區中，等待用戶主動去查看，以及按需刪除。可見，在此類應用場景中，我們更需要的是病毒防護軟件能夠對所有系統執行自動掃描，立即對檢測到的惡意軟件予以刪除。這才是應對表單抓取器最有效的方法。

避免未經加密的連接

您應該避免在未加密的網站上填寫表格。僅僅使用HTTP的網站，如今已被Google Chrome等流行的瀏覽器標記為不安全的方式。用戶在訪問時，會收到有關該網站不安全的警告。

通常，使用HTTPS協議的網站更為安全。一個帶掛鎖的符號通常會出現在URL地址欄中，以表明該網站正在使用HTTPS協議，且為安全的。由于它使用復雜的加密來保護網站和瀏覽器之間數據的交換，因此HTTPS不允許任何形式的抓取或鍵盤記錄。

其實，HTTPS與HTTP屬相同的協議。唯一的區別在于，前者建立在安全傳輸層（Transport Layer Security，TLS）之上。它除了加密Web應用與其服務器之間的連接之外，還可以保護電子郵件和消息的傳遞。

更重要的是，使用HTTP的網站只能將其數據以純文本形式傳輸，使得惡意攻擊者能夠很容易地讀取到它們。相反，即使您的計算機中存在著惡意軟件，若您訪問的網站是運行在HTTPS協議之上的網站，那么惡意軟件收到了數據后，也無法讀取或解碼已加密的信息。

使用URL黑名單

在您訪問某個網站之前，為了安全起見，請確保它沒有被列入黑名單。為此，您可以使用??Google透明度報告??（Google Transparency Report）。如下圖所示，請在頁面的搜索欄中輸入待訪問網站的URL，如果列出了該網站的相關診斷信息，則可以確認它會通過插件和下載的方式傳播惡意軟件。通過避免訪問被列入黑名單的網站，我們可以有效地減少惡意軟件進入計算機的機會。

設置網絡防火墻

此外，有許多不安全的頁面還會帶有有害的重定向，因此它們也會被列入黑名單。為此，您也可以將這些已列入黑名單的網站，添加到防火墻中，以確保自己在瀏覽互聯網時，不會意外地連接到它們。畢竟，Web防火墻在阻止這些重定向的同時，起到了保護敏感數據免受表單抓取器侵害的作用。

小結

目前，雖然表單抓取類惡意軟件十分常見，但是我們可以采取一些積極的防護措施，以確保僅從受信任的來源下載擴展和插件，進而防止數據被盜。同時，您也可以通過創建有害網站和服務器的列表，并將它們添加到防火墻的黑名單中，來保護您的計算機。

當然，防病毒程序也是不錯的選擇，最好它們能夠自動掃描惡意軟件，并立即將其刪除。就個人習慣而言，您應該盡量避免訪問非HTTPS協議的站點。因為表單抓取木馬就會在那里等著您的光顧。 

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：??Form-Grabbing Malware: A Silent Threat to Your Online Security??，作者：OLUWADEMILADE AFOLABI