Формграббер (от англ. form grabbing — захват формы) — шпионская программа, служит для перехвата введённых паролей и логинов. Механизм заполнения формы (с клавиатуры, перетаскиванием , копированием, автоматически средствами браузера) не влияет на работу формграббера. Перехват данных не изменяет функционирование основной системы, введённая пользователем информация корректно передаётся и обрабатывается.

История

Первые формграбберы появились в 2003 году с Trojan Berbew. На 2009 год до 90% всех краж паролей троянами приходится на версии с функцией формграббера.

Принцип действия

В отличие от кейлогеров , формграббер не ведёт наблюдения за действиями пользователя. Такая программа скрытно перечисляет все окна класса «Edit» и проверяет наличие стиля «ES_PASSWORD (&H20)» у окна или специального именования. Имеющиеся в окне данные копируются в лог или отправляются злоумышленнику.

При работе с браузерами для кражи паролей из web-форм формграббер перечисляет все поля для ввода текстовой информации на web странице (примерно так работают программы автозаполнения форм), и найдя значимое поле (например, с типом «password») копирует содержащуюся в нём информацию.

Формграббер может перехватывать данные, отсылаемые на сервер формами после их заполнения. Такой подход менее зависим от типа используемого браузера или почтового клиента , но перехват для защищённых соединений может оказаться неудачным.

Защита

Обнаружение формграббера на компьютере может быть затруднено, так как используются обычные системные функции работы с окнами. Передаче украденной информации может препятствовать файервол , который не даст незнакомому приложению отправить данные в сеть.

Кроме того, отправка конфиденциальных данных третьим лицам или администраторам веб-сайтов может быть настроена на стороне сервера (например, в результате злонамеренных действий владельцев ресурса или заражения вирусом). В таком случае посетителю сайта обнаружить утечку и противостоять ей, возможно, не удастся вовсе.

Особенность архитектуры браузера Internet Explorer любых версий позволяет сторонним программам обращаться к любому элементу веб-страницы , которая открыта в этом браузере. Браузеры Opera и Firefox позволяют получить доступ к элементу открытой веб-страницы лишь установленным непосредственно в сам браузер расширениям ( плагинам ).

См. также

• HookDump — пример кейлогера и формграбера

Ссылки