Cyberbezpieczeństwo | Technologie i innowacje

Kradzieże plików cookie niebezpieczne dla firm

mb | aleBank.pl
Kradzieże plików cookie niebezpieczne dla firm
Źródło: Sophos
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyberprzestępcy coraz częściej stosują pliki cookie do omijania uwierzytelniania wieloskładnikowego. Według raportu Sophos, atakujący mogą uzyskiwać dostęp do zasobów firm dzięki wykradzionym sesyjnym "ciasteczkom". Pozwalają one podszywać się pod prawdziwych użytkowników i swobodnie poruszać w firmowej sieci.

Sesyjne pliki cookie, zwane też „ciasteczkami”, są zbierane i przechowywane przez przeglądarkę internetową do momentu jej zamknięcia lub wylogowania się ze strony internetowej.

Zawierają m.in. informacje o otwieranych stronach internetowych i identyfikują przeglądarkę, z której użytkownik łączy się z serwisem. 

Dlaczego cyberprzestępcom zależy na ciasteczkach?

– W ostatnim roku zauważyliśmy, że kradzieże plików cookie są coraz częstsze. Przejęcie takich uwierzytelniających „ciasteczek”, znanych również jako tokeny dostępu, pozwala obejść dwuskładnikowe uwierzytelnianie stosowane przez coraz więcej firm.

Skradzione pliki cookie mogą posłużyć do ataku typu „pass-the-cookie”

Jeśli atakujący wejdą w posiadanie sesyjnych plików cookie, zyskują możliwość swobodnego poruszania się po sieci, podszywając się pod prawdziwych użytkowników – mówi Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Po uzyskaniu dostępu do firmowych systemów, atakujący mogą wykorzystać pliki cookie do dalszych działań, takich jak przejęcie dostępu do poczty elektronicznej, modyfikacja danych lub repozytoriów kodu źródłowego czy próby wyłudzenia dostępu do dodatkowo zabezpieczonych zasobów.

Czytaj także: Kradzież tożsamości zamiast handlu narkotykami ‒ gangi przerzucają się na nielegalne działania w cyberprzestrzeni

Ciasteczka wyjątkowo groźną bronią w arsenale cyberprzestępców

Skradzione pliki cookie mogą posłużyć do ataku typu „pass-the-cookie”. Przestępcy z ich pomocą oszukują przeglądarkę i podają się za uwierzytelnionego użytkownika, np. pracownika firmy, co pozwala też ukryć ich złośliwe działania w firmowej sieci.

Rozwiązaniem zapewniającym większe bezpieczeństwo może wydawać się regularne czyszczenie plików cookie

Jest to możliwe, ponieważ token dostępu jest tworzony i przechowywany w przeglądarce podczas korzystania z uwierzytelniania wieloskładnikowego.

Problem jest o tyle poważny, że wiele legalnych aplikacji internetowych posiada stałe pliki cookie, które są przechowywane do momentu wylogowania się użytkownika, a czasem nigdy nie tracą one ważności.

Czytaj także: 11-krotny wzrost liczby ataków z wykorzystaniem ransomware ‒ jak chronić firmę przed cyberprzestępcami?

Cyberprzestępców ogranicza jedynie kreatywność

– Nawet początkujący cyberprzestępcy mogą skutecznie przejmować dane uwierzytelniające. Wystarczy kupić trojana wykradającego informacje, aby masowo zbierać takie dane jak hasła i ciasteczka, a następnie sprzedawać je na czarnym rynku. Tego typu informacje mogą być przydatne dla innych przestępców, na przykład operatorów oprogramowania ransomware – tłumaczy Grzegorz Nocoń.

– Lista złośliwych działań, które atakujący mogą przeprowadzić za pomocą skradzionych plików cookie, właściwie nie ma końca. Jedynym ograniczeniem jest ich kreatywność – dodaje ekspert.

Rozwiązaniem zapewniającym większe bezpieczeństwo może wydawać się regularne czyszczenie plików cookie i innych informacji uwierzytelniających w przeglądarkach. Jednak zaostrzenie zasad dotyczących ciasteczek wiąże się z pewnymi kompromisami. Skrócenie okresu ich ważności oznacza konieczność częstego logowania się przez użytkowników.

(Skradzione) informacje mogą być przydatne dla (…) operatorów oprogramowania ransomware

Według eksperta, aby zapewnić sobie odpowiednią ochronę, firmy powinny korzystać z narzędzi, które umożliwiają skuteczne wykrywanie złośliwego oprogramowania, zwłaszcza za pomocą analizy behawioralnej.

Czytaj także: Przez te trzy popularne cyberoszustwa finansowe można wpaść w długi; jak się przed nimi ustrzec?

Źródło: Sophos