Cineva nu trebuie să vă cunoască parolele dacă vă fură cu succes cookie-urile browserului.
Autentificarea cu mai mulți factori adaugă straturi suplimentare de securitate serviciilor cloud, dar nu este întotdeauna sigură. Oamenii efectuează acum atacuri de tip pass-the-cookie pentru a ocoli MFA și pentru a obține acces la serviciile dvs. cloud. Odată ce sunt în, vă pot fura, exfiltra sau cripta datele dvs. sensibile.
Dar ce este exact un atac de tip pass-the-cookie, cum funcționează și ce poți face pentru a te proteja de el? Să aflăm.
Ce este un atac de tip „pass-the-cookie”?
Utilizarea unui cookie de sesiune pentru a ocoli autentificarea se numește atac de tip pass-the-cookie.
Când un utilizator încearcă să se conecteze la o aplicație web, aplicația îi va cere utilizatorului să introducă numele de utilizator și parola. Dacă utilizatorul a activat autentificarea cu mai mulți factori, va trebui să trimită un factor de autentificare suplimentar, cum ar fi un cod trimis la adresa de e-mail sau la numărul de telefon.
Odată ce utilizatorul a trecut de autentificarea cu mai mulți factori, un cookie de sesiune este creat și stocat în browserul web al utilizatorului. Acest cookie de sesiune permite utilizatorului să rămână conectat în loc să treacă prin procesul de autentificare din nou și din nou ori de câte ori navighează la o nouă pagină a aplicației web.
Cookie-urile de sesiune simplifică experiența utilizatorului, deoarece utilizatorul nu trebuie să se reautentifice de fiecare dată când trece la următoarea pagină a aplicației web. Dar cookie-urile de sesiune reprezintă și o amenințare severă de securitate.
Dacă cineva este capabil să fure cookie-uri de sesiune și să injecteze acele cookie-uri în browserele sale, aplicațiile web vor avea încredere în cookie-urile de sesiune și vor acorda hoțului acces complet.
În cazul în care se întâmplă ca un atacator să obțină acces la contul dvs. Microsoft Azure, Amazon Web Services sau Google Cloud, acesta poate provoca daune ireparabile.
Cum funcționează un atac de tip pass-the-cookie
Iată cum cineva efectuează un atac de tip pass-the-cookie.
Extragerea cookie-ului de sesiune
Primul pas în efectuarea unui atac de tip pass-the-cookie este extragerea cookie-ului de sesiune al unui utilizator. Există diverse metode pe care le folosesc hackerii pentru a fura module cookie de sesiune, inclusiv cross-site scripting, phishing, Atacurile de la Omul din mijloc (MITM)., sau atacuri troiene.
Actorii rău intenționați vând cookie-uri de sesiune furate pe dark web în zilele noastre. Aceasta înseamnă că infractorii cibernetici nu trebuie să depună eforturi pentru a extrage cookie-urile de sesiune ale utilizatorilor. Prin achiziționarea de cookie-uri furate, infractorii cibernetici pot planifica cu ușurință un atac de tip pass-the-cookie pentru a obține acces la datele confidențiale și informațiile sensibile ale unei victime.
Trecând Cookie-ul
Odată ce infiltratul are cookie-ul de sesiune al utilizatorului, acesta va injecta cookie-ul furat în browser-ul său web pentru a începe o nouă sesiune. Aplicația web va crede că un utilizator legitim începe o sesiune și va acorda acces.
Fiecare browser web gestionează module cookie de sesiune în mod diferit. Cookie-urile de sesiune stocate în Mozilla Firefox nu sunt vizibile pentru Google Chrome. Și când un utilizator se deconectează, cookie-ul de sesiune expiră automat.
Dacă un utilizator închide browserul fără a se deconecta, cookie-urile de sesiune pot fi șterse în funcție de setările browserului dvs. Un browser web nu poate șterge cookie-urile de sesiune dacă utilizatorul a setat browserul să continue de unde a rămas. Aceasta înseamnă că deconectarea este un mijloc mai fiabil de ștergere a cookie-urilor de sesiune decât închiderea browserului fără a deconecta din aplicația web.
Cum să atenuezi atacurile de tip pass-the-cookie
Iată câteva modalități de a preveni atacurile de tip pass-the-cookie.
Implementați certificate de client
Dacă doriți să vă protejați utilizatorii de atacurile de tip pass-the-cookie, să le oferiți un simbol persistent poate fi o idee bună. Și acest token va fi atașat la fiecare cerere de conectare la server.
Puteți face acest lucru să se întâmple utilizând certificate de client stocate în sistem pentru a stabili dacă aceștia sunt cine pretind a fi. Când un client face o solicitare de conectare la server folosind certificatul său, aplicația dvs. web va folosi certificat pentru a identifica sursa certificatului și pentru a determina dacă clientului ar trebui să i se permită accesul.
Deși aceasta este o metodă sigură de combatere a atacurilor de tip pass-the-cookie, este potrivită numai pentru aplicațiile web care au un număr limitat de utilizatori. Aplicațiile web cu un număr enorm de utilizatori consideră că este destul de dificil să implementeze certificate de client.
De exemplu, un site de comerț electronic are utilizatori din întreaga lume. Imaginează-ți cât de dificil ar fi să implementezi certificate de client pentru fiecare cumpărător.
Adăugați mai multe contexte la solicitările de conectare
Adăugarea mai multor contexte la solicitările de conectare la server pentru a verifica cererea poate fi o altă modalitate de a preveni atacurile de tip pass-the-cookie.
De exemplu, unele companii solicită adresa IP a unui utilizator înainte de a acorda acces la aplicațiile lor web.
Un dezavantaj al acestei metode este că un atacator poate fi prezent în același spațiu public, cum ar fi un aeroport, o bibliotecă, o cafenea sau o organizație. Într-un astfel de caz, atât infractorul cibernetic, cât și utilizatorul legitim i se va acorda acces.
Utilizați amprenta din browser
În timp ce, de obicei, s-ar putea să vrei apărare împotriva amprentei browserului, vă poate ajuta de fapt să luptați împotriva atacurilor de tip pass-the-cookie. Amprentarea browserului vă permite să adăugați mai mult context solicitărilor de conectare. Informații precum versiunea browserului, sistemul de operare, modelul dispozitivului utilizatorului, setările de limbă preferată și Extensiile de browser pot fi folosite pentru a identifica contextul oricărei solicitări pentru a se asigura că utilizatorul este exact cine pretinde a fi.
Cookie-urile au căpătat un nume prost, deoarece sunt adesea folosite pentru a urmări utilizatorii, dar sunt opțiuni pentru a le dezactiva. În schimb, atunci când implementați amprenta browserului ca element de context de identitate pentru oricare cererea de conectare, eliminați opțiunea dorită, ceea ce înseamnă că utilizatorii nu pot dezactiva sau bloca browserul amprentarea.
Utilizarea unui instrument de detectare a amenințărilor este o modalitate excelentă de a detecta conturile care sunt utilizate în mod rău intenționat.
Un instrument bun de securitate cibernetică vă va scana în mod proactiv rețeaua și vă va avertiza despre orice activitate neobișnuită înainte ca aceasta să poată produce daune semnificative.
Fortificați securitatea pentru a atenua atacul de tip pass-the-cookie
Atacurile pass-the-cookie reprezintă o amenințare severă de securitate. Atacatorii nu trebuie să vă cunoască numele de utilizator, parola sau orice alt factor de autentificare suplimentar pentru a accesa datele. Trebuie doar să vă fure cookie-urile de sesiune și pot intra în mediul dvs. cloud și pot fura, cripta sau exfiltra date sensibile.
Mai rău, în unele cazuri, un hacker poate efectua un atac de tip pass-the-cookie chiar și atunci când un utilizator și-a închis browserul. Prin urmare, devine esențial să luați măsurile de securitate necesare pentru a preveni atacurile de tip pass-the-cookie. De asemenea, educați-vă utilizatorii despre atacurile de oboseală MFA în care hackerii trimit utilizatorilor un val de notificări push pentru a-i uza.
