Хакеры используют файлы cookie, чтобы обойти двухфакторную аутентификацию

Дядя Влад

По данным Sophos , «кража файлов cookie» является одной из последних тенденций киберпреступлений, которую хакеры используют для обхода учетных данных и доступа к частным базам данных.

Типичным советом по безопасности для организаций является перемещение наиболее конфиденциальной информации в облачные службы или использование многофакторной аутентификации (MFA) в качестве средства безопасности. Однако злоумышленники выяснили, как использовать файлы cookie, связанные с данными для входа, и копировать их, чтобы взломать активные или недавние веб-сеансы программ, которые обычно не обновляются.

На большом мониторе отображается предупреждение о взломе системы безопасности.
Фондовый склад / Getty Images

Эти хакеры могут использовать несколько различных онлайн-инструментов и сервисов, включая браузеры, веб-приложения, веб-сервисы, электронные письма, зараженные вредоносным ПО, и ZIP-файлы.

Самый коварный аспект этого стиля взлома заключается в том, что файлы cookie настолько широко используются, что могут помочь мошенническим пользователям получить доступ к системам, даже если протоколы безопасности действуют. Sophos отметила, что ботнет Emotet является одним из таких вредоносных программ для кражи файлов cookie, которые нацелены на данные в браузере Google Chrome, такие как сохраненные логины и данные платежных карт, несмотря на склонность браузера к шифрованию и многофакторной аутентификации.

В более широком масштабе киберпреступники могут покупать украденные данные файлов cookie, такие как учетные данные, на подпольных торговых площадках, говорится в публикации. Данные для входа в систему для разработчика игр Electronic Arts оказались на торговой площадке под названием Genesis, которая, как сообщается, была куплена группой вымогателей Lapsus$. Группа смогла воспроизвести учетные данные сотрудника EA и в конечном итоге получить доступ к сетям компании, похитив 780 гигабайт данных. Группа собрала сведения об исходном коде игры и графического движка, которые они использовали для вымогательства у EA.

Точно так же Lapsus$ взломал базы данных Nvidia в марте. В отчетах утверждалось, что взлом мог раскрыть регистрационную информацию более 70 000 сотрудников в дополнение к 1 ТБ данных компании, включая схемы, драйверы и сведения о прошивке. Однако нет ни слова о том, был ли взлом связан с кражей файлов cookie.

Другие возможности кражи файлов cookie могут быть легко взломаны, если они представляют собой продукты «программное обеспечение как услуга», такие как Amazon Web Services (AWS), Azure или Slack. Это может начаться с того, что хакеры имеют базовый доступ, но обманом заставляют пользователей загружать вредоносное ПО или делиться конфиденциальной информацией. Такие сервисы, как правило, остаются открытыми и работают постоянно, а это означает, что срок действия их файлов cookie не истекает достаточно часто, чтобы их протоколы были надежными с точки зрения безопасности.

Sophos отмечает, что пользователи могут регулярно очищать свои файлы cookie, чтобы поддерживать лучший протокол; однако это означает необходимость повторной аутентификации каждый раз.