O “roubo de cookies” está entre as últimas tendências em crimes cibernéticos que os hackers estão usando para contornar credenciais e acessar bancos de dados privados, de acordo com a Sophos.
O conselho de segurança típico para as organizações tem sido mover suas informações mais confidenciais para serviços em nuvem ou usar a autenticação multifator (MFA) como meio de segurança. No entanto, os agentes mal-intencionados descobriram como passar os cookies conectados aos detalhes de login e replicá-los para hackear as sessões da Web ativas ou recentes de programas que geralmente não são atualizados.
Esses hackers são capazes de explorar várias ferramentas e serviços online diferentes, incluindo navegadores, aplicativos baseados na Web, serviços da Web, e-mails infectados por malware e arquivos ZIP.
O aspecto mais insidioso desse estilo de hacking é que os cookies são tão amplamente usados que podem ajudar usuários nefastos a acessar sistemas, mesmo que existam protocolos de segurança. A Sophos observou que o botnet Emotet é um malware de roubo de cookies que visa dados no navegador Google Chrome, como logins armazenados e dados de cartão de pagamento, apesar da afinidade do navegador por criptografia e autenticação multifator.
Em uma escala mais ampla, os cibercriminosos podem comprar dados de cookies roubados, como credenciais de mercados clandestinos, disse a publicação. Os detalhes de login de um desenvolvedor de jogos da Electronic Arts acabaram em um mercado chamado Genesis, que teria sido comprado pelo grupo de extorsão Lapsus$. O grupo conseguiu replicar as credenciais de login dos funcionários da EA e, finalmente, obter acesso às redes da empresa, roubando 780 gigabytes de dados. O grupo coletou detalhes do código-fonte do jogo e do mecanismo gráfico que eles usaram para tentar extorquir a EA.
Da mesma forma, Lapsus$ hackeou os bancos de dados da Nvidia em março. Relatórios alegaram que a violação pode ter revelado as informações de login de mais de 70.000 funcionários, além de 1 TB de dados da empresa, incluindo esquemas, drivers e detalhes de firmware. No entanto, não há informações se o hack foi devido ao roubo de cookies.
Outras oportunidades de roubo de cookies podem ser fáceis de decifrar se forem produtos de software como serviço, como Amazon Web Services (AWS), Azure ou Slack. Isso pode começar com hackers com acesso básico, mas enganando os usuários para que baixem malware ou compartilhem informações confidenciais. Esses serviços tendem a permanecer abertos e em execução persistente, o que significa que seus cookies não expiram com frequência suficiente para que seus protocolos sejam seguros em termos de segurança.
A Sophos observa que os usuários podem limpar seus cookies regularmente para manter um protocolo melhor; no entanto, isso significa ter que reautenticar a cada vez.
Com informações de Digital Trends.
