Jak cyberprzestępcy wykorzystują pliki cookie?

Przeczytaj także: Pliki cookies - czym są i jak je usunąć?

Dlaczego cyberprzestępcom zależy na ciasteczkach?

Sesyjne pliki cookie, zwane też „ciasteczkami”, są zbierane i przechowywane przez przeglądarkę internetową do momentu jej zamknięcia lub wylogowania się ze strony internetowej. Zawierają m.in. informacje o otwieranych stronach internetowych i identyfikują przeglądarkę, z której użytkownik łączy się z serwisem.

W ostatnim roku zauważyliśmy, że kradzieże plików cookie są coraz częstsze. Przejęcie takich uwierzytelniających „ciasteczek”, znanych również jako tokeny dostępu, pozwala obejść dwuskładnikowe uwierzytelnianie stosowane przez coraz więcej firm – mówi Grzegorz Nocoń, inżynier systemowy w firmie Sophos. – Jeśli atakujący wejdą w posiadanie sesyjnych plików cookie, zyskują możliwość swobodnego poruszania się po sieci, podszywając się pod prawdziwych użytkowników.

Po uzyskaniu dostępu do firmowych systemów, atakujący mogą wykorzystać pliki cookie do dalszych działań, takich jak przejęcie dostępu do poczty elektronicznej, modyfikacja danych lub repozytoriów kodu źródłowego czy próby wyłudzenia dostępu do dodatkowo zabezpieczonych zasobów.

Ciasteczka wyjątkowo groźną bronią w arsenale cyberprzestępców

Skradzione pliki cookie mogą posłużyć do ataku typu „pass-the-cookie”. Przestępcy z ich pomocą oszukują przeglądarkę i podają się za uwierzytelnionego użytkownika, np. pracownika firmy, co pozwala też ukryć ich złośliwe działania w firmowej sieci. Jest to możliwe, ponieważ token dostępu jest tworzony i przechowywany w przeglądarce podczas korzystania z uwierzytelniania wieloskładnikowego.

Problem jest o tyle poważny, że wiele legalnych aplikacji internetowych posiada stałe pliki cookie, które są przechowywane do momentu wylogowania się użytkownika, a czasem nigdy nie tracą one ważności.

Cyberprzestępców ogranicza jedynie kreatywność

Nawet początkujący cyberprzestępcy mogą skutecznie przejmować dane uwierzytelniające. Wystarczy kupić trojana wykradającego informacje, aby masowo zbierać takie dane jak hasła i ciasteczka, a następnie sprzedawać je na czarnym rynku. Tego typu informacje mogą być przydatne dla innych przestępców, na przykład operatorów oprogramowania ransomware – tłumaczy Grzegorz Nocoń. – Lista złośliwych działań, które atakujący mogą przeprowadzić za pomocą skradzionych plików cookie, właściwie nie ma końca. Jedynym ograniczeniem jest ich kreatywność.

Rozwiązaniem zapewniającym większe bezpieczeństwo może wydawać się regularne czyszczenie plików cookie i innych informacji uwierzytelniających w przeglądarkach. Jednak zaostrzenie zasad dotyczących ciasteczek wiąże się z pewnymi kompromisami. Skrócenie okresu ich ważności oznacza konieczność częstego logowania się przez użytkowników.

Według eksperta Sophos, aby zapewnić sobie odpowiednią ochronę, firmy powinny korzystać z narzędzi, które umożliwiają skuteczne wykrywanie złośliwego oprogramowania, zwłaszcza za pomocą analizy behawioralnej.