Οι χάκερ «κυνηγούν» τα cookies και όχι τους κωδικούς πρόσβασης, προειδοποιεί ειδικός του FBI – Πώς να προστατευτείτε 

Χάκερ

Όλα τα cookies είναι ευάλωτα και αυτό είναι αρκετό ώστε οι εγκληματίες του κυβερνοχώρου να παραβιάσουν τους λογαριασμούς της Google ή άλλους λογαριασμούς, όπως προειδοποιεί ο πρώην ειδικός του FBI σε θέματα ψηφιακού εγκλήματος και νυν αντιπρόεδρος της SpyCloud Labs,Trevor Hilligoss. Αυτό αποδείχθηκε από την ευπάθεια που ανακαλύφθηκε πρόσφατα στο OAuth.

Η ασφάλεια στο διαδίκτυο έχει επιστρέψει στο σημείο μηδέν. Ανεξάρτητα από το μήκος ενός κωδικού πρόσβασης ή τον αριθμό των παραγόντων κατά τον έλεγχο ταυτότητας, οι χάκερ μπορούν να παραβιάσουν τους λογαριασμούς σας, αν ένα κακόβουλο λογισμικό μολύνει τη συσκευή σας και βρει κάποια session tokens ή cookies.

Πρόσφατα, αποκαλύφθηκε μία νέα εκμετάλλευση του πρωτοκόλλου εξουσιοδότησης OAuth2, η οποία επιτρέπει στους επιτιθέμενους να καταλαμβάνουν λογαριασμούς Google με εκτεταμένες συνέπειες. Μάλιστα μπορούν να διατηρούν την πρόσβαση σε λογαριασμούς παρά την επαναφορά του κωδικού πρόσβασης.

Η κλοπή cookies δεν είναι μια νέα τακτική για την παράκαμψη του ελέγχου ταυτότητας – έγκυρα cookies μπορούν να εισαχθούν στο σύστημα ενός εγκληματία, παραποιώντας τη συσκευή του θύματος. Ωστόσο, η μέθοδος αυτή βρίσκεται σε έξαρση, καθώς πολλοί χρήστες χρησιμοποιούν πλέον έλεγχο ταυτότητας πολλαπλών παραγόντων, καθιστώντας δυσκολότερη την πρόσβαση σε λογαριασμούς με κλεμμένους κωδικούς πρόσβασης, εξήγησε ο Hilligoss σε συνέντευξή του στο Cybernews.

Και μπορεί να γίνει ακόμη χειρότερη.

«Πρόκειται για κάτι πολύ μεγαλύτερο από την Google. Η κλοπή των cookies είναι τόσο διαδεδομένη εδώ και πολύ καιρό, αλλά οι χρήστες του διαδικτύου ανησυχούν για τα ονόματα χρήστη και τους κωδικούς πρόσβασης. Αισθάνομαι ότι πολύ λίγοι άνθρωποι καταλαβαίνουν πραγματικά πόσο σοβαρή είναι η κλοπή cookie και πόσο δύσκολο είναι να την αποτρέψει κανείς», τόνισε ο πρώην ειδικός του FBI σε θέματα ψηφιακού εγκλήματος.

χάκερ - unsplash

Οι λογαριασμοί Google ο No1 στόχος των χάκερ

Ο Hilligoss αποκάλυψε ότι οι λογαριασμοί Google είναι από τους πιο ελκυστικούς για τους εγκληματίες, καθώς περιέχουν πολλές κρίσιμες προσωπικές, φορολογικές και άλλες πληροφορίες και μπορούν επίσης να χρησιμοποιηθούν για την επαναφορά κωδικών πρόσβασης άλλων υπηρεσιών.

«Αν μπω στον λογαριασμό σας στο Gmail, στοιχηματίζω ότι μπορώ να επαναφέρω τον κωδικό πρόσβασης στο Facebook χρησιμοποιώντας τον λογαριασμό σας στο Google. Το κάνω αυτό στη μέση της νύχτας. Δεν πρόκειται να το συνειδητοποιήσετε μέχρι το πρωί. Τώρα έχω τον έλεγχο του Facebook σας. Και οι εγκληματίες το κάνουν αυτό κάθε μέρα», εξήγησε ο Hilligoss.

Οι απατεώνες μπορούν να χρησιμοποιούν «ισχυρούς κλέφτες πληροφοριών» -όπως το Lumma- για μόλις 250 δολάρια το μήνα χωρίς καμία τεχνολογική γνώση.

Γιατί είναι τόσο σημαντικά τα cookies;

Πριν από μερικά χρόνια, όταν ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) δεν ήταν ευρέως διαδεδομένος, οι περισσότεροι άνθρωποι εξακολουθούσαν να μπαίνουν στους λογαριασμούς τους χρησιμοποιώντας μόνο το όνομα χρήστη και τον κωδικό πρόσβασής τους. Σήμερα, βλέπουμε MFA παντού, καθώς είναι ένας αποτελεσματικός τρόπος για την παρεμπόδιση απλών επιθέσεων απόκρυψης διαπιστευτηρίων. Όμως οι χάκερ προσαρμόζονται.

«Οι εγκληματίες, τα τελευταία δύο χρόνια, έχουν αρχίσει να χρησιμοποιούν κλεμμένα cookies ελέγχου ταυτότητας, επειδή, ουσιαστικά, δεν χρειάζεται καν να πιστοποιηθούν. Δεν χρειάζεται να προσπαθήσω να περάσω ένα όνομα χρήστη και έναν κωδικό πρόσβασης επειδή έχω ένα έγκυρο cookie που δεν έχει λήξει ακόμα. Μπορώ ουσιαστικά απλά να πω: “εγώ είμαι το άτομο που υποτίθεται ότι πρέπει να έχει πρόσβαση σε αυτόν τον ιστότοπο, άσε με να μπω”», δήλωσε ο Hilligoss.

Όταν ένας απειλητικός παράγοντας παρουσίασε την zero day ευπάθεια sτην πολιτική ανάκλησης cookie της Google, αυτή ενσωματώθηκε γρήγορα σε πολλαπλά infostealers. Αυτή η οικογένεια κακόβουλου λογισμικού έχει σχεδιαστεί για να διεισδύει σε συστήματα υπολογιστών και να κλέβει ευαίσθητες πληροφορίες.

«Δεν αποτελεί έκπληξη το γεγονός ότι η κοινότητα των infostealer ήταν η πρώτη που το αντιλήφθηκε. Οι infostealers, εδώ και πολύ καιρό, χρησιμοποιούν την κλοπή cookies ως τρόπο για να αποκτήσουν πρόσβαση σε λογαριασμούς», σημείωσε ο Hilligoss.

Τα cookies ελέγχου ταυτότητας καθορίζουν έναν χρόνο λήξης για τις συνεδρίες σας με τις υπηρεσίες. Το token λήγει έπειτα από κάποιο χρονικό διάστημα, το οποίο μπορεί να διαρκεί από λεπτά έως μήνες, και ο χρήστης πρέπει να κάνει εκ νέου πιστοποίηση. Οι κακόβουλοι φορείς, έχοντας πρόσβαση στα cookies και στις πληροφορίες της συσκευής, δεν χρειάζεται πλέον να γνωρίζουν τους κωδικούς πρόσβασης και τις φράσεις ασφαλείας ή να έχουν πρόσβαση στις επιλογές ανάκτησης λογαριασμού.

Η χρήση υπηρεσιών ιστού χωρίς τέτοια tokens θα μοιάζει με εφιάλτη.

«Ας πούμε ότι βρίσκεστε στον ιστότοπο της τράπεζάς σας. Συνδέεστε, κάνετε κλικ στον λογαριασμό σας, δεν θέλετε να χρειαστεί να συνδεθείτε ξανά. Σωστά; Φανταστείτε ότι κάθε φορά που κάνατε κλικ σε έναν σύνδεσμο, θα έπρεπε να επιστρέψετε και να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας. Αυτό δεν είναι καλή εμπειρία για τον χρήστη. Αυτό λοιπόν κάνουν τα cookies για εσάς. Αλλά το ίδιο cookie μπορεί να χρησιμοποιηθεί και από κάποιον άλλο, αρκεί να βρίσκεται εντός της εν λόγω περιόδου ισχύος», εξήγησε ο Hilligoss.

Φυσικά, οι ιστότοποι πραγματοποιούν πρόσθετους ελέγχους για να διασφαλίσουν ότι η συσκευή είναι η ίδια και ανήκει στον ίδιο χρήστη.

«Η Google ανταποκρίθηκε άμεσα και έκανε μερικές αλλαγές και επιδιόρθωσε ορισμένα από τα προβλήματα. Και στη συνέχεια, βγήκαν στις αρχές αυτού του μήνα και είπαν: “ξέρετε, αυτό δεν είναι exploit”. Αυτό είναι κάτι που κάνουν τα cookies, έτσι υποτίθεται ότι λειτουργεί η τεχνολογία, βεβαιωθείτε ότι ξέρετε, πηγαίνετε και ανακαλέστε όλες τις συνεδρίες μέσα από το λογαριασμό σας», τόνισε ο Hilligoss.

Χάκερ
πηγή: freepik.com

Είναι εύκολο για τους χάκερ να υποκλέψουν session tokens/cookies;

«Το κακόβουλο λογισμικό έχει γίνει πολύ, πολύ καλό σε αυτό. Τα περισσότερα προγράμματα περιήγησης αποθηκεύουν το υλικό των cookies σε μια βάση δεδομένων τοπικά. Όταν επισκέπτεστε τον ιστότοπο της τράπεζάς σας, εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, κάνετε κλικ στο login. Αυτός ο διακομιστής θα παράσχει ένα μοναδικό cookie στο πρόγραμμα περιήγησής σας. Και αυτό το πρόγραμμα περιήγησης θα αποθηκεύσει στη συνέχεια αυτό το cookie σε μια βάση δεδομένων στη συσκευή σας, οπότε την επόμενη φορά που θα προσπελάσετε αυτόν τον ιστότοπο, θα εξυπηρετήσει αυτόματα αυτό το cookie μαζί με όλα τα άλλα cookies που έχουν αποθηκευτεί για αυτόν τον ιστότοπο» εξήγησε ο Hilligoss.

Ο Hilligoss ανέφερε ακόμη ότι το κακόβουλο λογισμικό, όπως ακριβώς και το πρόγραμμα περιήγησης, θα έχει πρόσβαση στην ίδια βάση δεδομένων για να ελέγξει αν υπάρχουν cookies για τράπεζες ή άλλες υπηρεσίες. Στη συνέχεια, αυτά τα tokens θα εξαχθούν σε ένα αρχείο τοπικά στη συσκευή του θύματος, μαζί με άλλες πληροφορίες συστήματος και χρήστη, όπως η ανάλυση οθόνης, το μοντέλο CPU, το μέγεθος της RAM, το λειτουργικό σύστημα κ.λπ.

«Όλα τα είδη των πληροφοριών που βασίζονται σε συσκευές πρόκειται να συγκεντρωθούν και στη συνέχεια να αποσταλούν στον επιτιθέμενο. Σε αυτό το σημείο, ο επιτιθέμενος μπορεί να γίνει σαν εσάς. Υπάρχουν πολλά λογισμικά ανοιχτού κώδικα και δωρεάν λογισμικά που τους επιτρέπουν να εισάγουν cookies και να ρυθμίσουν τα συστήματά τους ώστε να μοιάζουν με τα δικά σας, ώστε να κάνουν το πρόγραμμα περιήγησης να νομίζει ότι τρέχετε τα Windows 11 με αυτόν τον αριθμό patch, τη CPU και όλα τα άλλα πράγματα» αποκάλυψε ο πρώην ειδικός του FBI σε θέματα ψηφιακού εγκλήματος.

Στη συνέχεια, οι χάκερ αποκτούν απλώς πρόσβαση στο Gmail ή σε άλλους λογαριασμούς. «Κάθε cookie είναι εγγενώς ευάλωτο. Το πρόβλημα είναι το κακόβουλο λογισμικό που χτυπάει τη συσκευή, λιγότερο το ίδιο το cookie» πρόσθεσε.

Πώς μπορείτε να προστατευτείτε από τέτοιες επιθέσεις;

«Το σημαντικότερο είναι να βεβαιωθείτε ότι οι συσκευές σας δεν έχουν μολυνθεί» δήλωσε ο Hilligoss, και συνέχισε: «Τα κακόβουλα λογισμικά Infostealer είναι εξαιρετικά διαδεδομένα. Βλέπουμε κυριολεκτικά εκατοντάδες χιλιάδες μολύνσεις κάθε μέρα σε όλο τον κόσμο, ειδικά στις χώρες που στοχεύονται περισσότερο, στις οποίες ζουν άνθρωποι σαν εμάς. Είναι η Ευρώπη, είναι οι Ηνωμένες Πολιτείες. Τα μέρη όπου οι εγκληματίες μπορούν να βγάλουν πολλά χρήματα».

Ο Hilligoss συνιστά ότι πρέπει να παρακολουθείτε συχνά τις συσκευές σας, να εγκαθιστάτε antivirus και να το ενημερώνετε συνεχώς. «Μην κάνετε κλικ σε διαφημίσεις. Σε γενικές γραμμές, πολλά κακόβουλα προγράμματα εξαπλώνονται μέσω διαφημίσεων».

Οι εταιρείες θα πρέπει να έχουν καλές πολιτικές αποκατάστασης, καθώς εξακολουθούν να συμβαίνουν μολύνσεις, και να εξασκούνται στον εντοπισμό και την ανάκληση συμβιβασμένων tokens πολύ γρήγορα για να περιορίσουν τη ζημιά.

«Οι χρήστες θα πρέπει επίσης να ανακαλέσουν την πρόσβαση σε συσκευές που δεν χρησιμοποιούν πλέον. Οι χρήστες έχουν περιορισμένο έλεγχο σχετικά με το πόσο διαρκούν οι συνεδρίες. Πιθανώς έχετε δει μερικές φορές να υπάρχει ένα μικρό πλαίσιο ελέγχου που λέει κάτι σαν “θυμάμαι αυτόν τον υπολογιστή”. Αυτό συνήθως εγκαθιστά ένα μόνιμο cookie αν κάνετε κλικ σε αυτό το κουτάκι», εξήγησε ο Hilligoss.

Ο πρώην ειδικός του FBI, συνιστά να αφήνετε αυτό το πλαίσιο ελέγχου άδειο και να συνδέεστε κάθε φορά για μια νέα συνεδρία, ώστε να διατηρείτε το χρόνο λήξης των cookies όσο το δυνατόν συντομότερο.

«Όσον αφορά την ασφάλεια του διαδικτύου, στο σπίτι μου έχουμε ένα οικιακό τείχος προστασίας, όλα πρέπει να είναι κρυπτογραφημένα – μπλοκάρω κάθε μη κρυπτογραφημένη κίνηση. Χρησιμοποιούμε συνεχώς και παντού διαχειριστές κωδικών πρόσβασης και δεν μπορώ να θυμηθώ πότε ήταν η τελευταία φορά που δημιούργησα τον δικό μου κωδικό πρόσβασης. Και, ναι, το MFA είναι φανταστικό όταν μπορείτε να αποφύγετε το ηλεκτρονικό ταχυδρομείο και το SMS. Χρησιμοποιείτε το MFA όσο το δυνατόν περισσότερο».

Scroll to Top