Noen trenger ikke å vite passordene dine hvis de i stedet stjeler informasjonskapslene i nettleseren din.
Multi-faktor autentisering legger til ekstra lag med sikkerhet til skytjenester, men det er ikke alltid idiotsikkert. Folk utfører nå pass-the-cookie-angrep for å komme seg rundt MFA og få tilgang til skytjenestene dine. Når de er inne, kan de stjele, eksfiltrere eller kryptere sensitive data.
Men hva er egentlig et pass-the-cookie-angrep, hvordan fungerer det, og hva kan du gjøre for å beskytte deg mot det? La oss finne det ut.
Hva er et Pass-the-Cookie-angrep?
Å bruke en øktinformasjonskapsel for å omgå autentisering kalles et pass-the-cookie-angrep.
Når en bruker prøver å logge på en nettapplikasjon, vil applikasjonen be brukeren om å skrive inn brukernavn og passord. Hvis brukeren har aktivert multifaktorautentisering, må de sende inn en ekstra autentiseringsfaktor som en kode sendt til e-postadressen eller telefonnummeret deres.
Når brukeren har bestått multifaktorautentisering, opprettes en økt-informasjonskapsel og lagres i brukerens nettleser. Denne øktinformasjonskapselen lar brukeren forbli pålogget i stedet for å gå gjennom autentiseringsprosessen igjen og igjen hver gang de navigerer til en ny side i nettapplikasjonen.
Øktinformasjonskapsler forenkler brukeropplevelsen ettersom brukeren ikke trenger å autentisere seg på nytt hver gang de går til neste side i nettapplikasjonen. Men øktinformasjonskapsler utgjør også en alvorlig sikkerhetstrussel.
Hvis noen er i stand til å stjele øktinformasjonskapsler og injisere disse informasjonskapslene i nettleserne deres, vil nettapplikasjoner stole på øktinformasjonskapsler og gi tyven full tilgang.
I tilfelle en angriper tilfeldigvis får tilgang til Microsoft Azure, Amazon Web Services eller Google Cloud-kontoen din, kan de forårsake uopprettelig skade.
Hvordan et Pass-the-Cookie-angrep fungerer
Her er hvordan noen utfører et pass-the-cookie-angrep.
Pakk ut øktinformasjonskapselen
Det første trinnet i å utføre et pass-the-cookie-angrep er å trekke ut en brukers øktinformasjonskapsel. Det finnes ulike metoder hackere bruker for å stjele øktinformasjonskapsler, inkludert skripting på tvers av nettsteder, phishing, Man-in-the-middle (MITM) angrep, eller trojanske angrep.
Ondsinnede aktører selger stjålne øktinformasjonskapsler på det mørke nettet i disse dager. Dette betyr at nettkriminelle ikke trenger å anstrenge seg for å trekke ut brukernes øktinformasjonskapsler. Ved å kjøpe stjålne informasjonskapsler kan nettkriminelle enkelt planlegge et pass-the-cookie-angrep for å få tilgang til et offers konfidensielle data og sensitiv informasjon.
Sender informasjonskapselen
Når infiltratøren har brukerens øktinformasjonskapsel, vil de injisere den stjålne informasjonskapselen i nettleseren for å starte en ny økt. Nettapplikasjonen vil tro at en legitim bruker starter en økt og gi tilgang.
Hver nettleser håndterer øktinformasjonskapsler forskjellig. Øktinformasjonskapsler som er lagret i Mozilla Firefox, er ikke synlige for Google Chrome. Og når en bruker logger av, utløper øktinformasjonskapselen automatisk.
Hvis en bruker lukker nettleseren uten å logge av, kan øktinformasjonskapsler bli slettet avhengig av nettleserinnstillingene dine. En nettleser kan ikke slette øktinformasjonskapsler hvis brukeren har satt nettleseren til å fortsette der de slapp. Dette betyr at avlogging er en mer pålitelig måte å tømme øktinformasjonskapsler enn å slå av nettleseren uten å logge av nettapplikasjonen.
Slik reduserer du Pass-the-Cookie-angrep
Her er noen måter å forhindre pass-the-cookie-angrep på.
Implementere klientsertifikater
Hvis du vil beskytte brukerne dine mot angrep fra informasjonskapselen, kan det være en god idé å gi dem et vedvarende token. Og dette tokenet vil bli knyttet til hver servertilkoblingsforespørsel.
Du kan få dette til ved å bruke klientsertifikater som er lagret på systemet for å fastslå om de er den de utgir seg for å være. Når en klient foretar en servertilkoblingsforespørsel ved å bruke sertifikatet deres, vil webapplikasjonen din bruke sertifikat for å identifisere sertifikatets kilde og bestemme om klienten skal gis tilgang.
Selv om dette er en sikker metode for å bekjempe pass-the-cookie-angrep, er den kun egnet for nettapplikasjoner med et begrenset antall brukere. Nettapplikasjoner med et enormt antall brukere synes det er ganske utfordrende å implementere klientsertifikater.
For eksempel har et e-handelsnettsted brukere over hele verden. Tenk deg hvor vanskelig det ville være å implementere kundesertifikater for hver enkelt kunde.
Legg til flere kontekster til tilkoblingsforespørsler
Å legge til flere kontekster til servertilkoblingsforespørsler for å bekrefte forespørselen kan være en annen måte å forhindre pass-the-cookie-angrep på.
Noen selskaper krever for eksempel en brukers IP-adresse før de gir tilgang til deres nettapplikasjoner.
En ulempe med denne metoden er at en angriper kan være til stede i samme offentlige rom, for eksempel en flyplass, et bibliotek, en kaffebar eller en organisasjon. I et slikt tilfelle vil både den nettkriminelle og den legitime brukeren få tilgang.
Bruk nettleserfingeravtrykk
Mens du kanskje vanligvis vil forsvare seg mot nettlesers fingeravtrykk, kan det faktisk hjelpe deg med å bekjempe pass-the-cookie-angrep. Nettleserfingeravtrykk lar deg legge til mer kontekst til tilkoblingsforespørsler. Informasjon som nettleserversjon, operativsystem, brukerens enhetsmodell, foretrukne språkinnstillinger og nettleserutvidelser kan brukes til å identifisere konteksten for enhver forespørsel for å sikre at brukeren er nøyaktig den de påstår å være.
Informasjonskapsler har fått et dårlig navn siden de ofte brukes til å spore brukere, men de er alternativer for å deaktivere dem. Derimot, når du implementerer nettleserfingeravtrykk som et element av identitetskontekst til noen tilkoblingsforespørsel, fjerner du valgmuligheten, noe som betyr at brukere ikke kan deaktivere eller blokkere nettleseren fingeravtrykk.
Å bruke et trusseldeteksjonsverktøy er en utmerket måte å oppdage kontoer som blir brukt ondsinnet.
Et godt cybersikkerhetsverktøy vil proaktivt skanne nettverket ditt og varsle deg om uvanlig aktivitet før det kan gjøre noen betydelig skade.
Styrk sikkerheten for å redusere Pass-the-Cookie-angrepet
Pass-the-cookie-angrep er en alvorlig sikkerhetstrussel. Angripere trenger ikke å kjenne brukernavnet ditt, passordet eller noen annen ekstra autentiseringsfaktor for å få tilgang til data. De trenger bare å stjele øktinformasjonskapslene dine, og de kan gå inn i skymiljøet ditt og stjele, kryptere eller eksfiltrere sensitive data.
Hva verre er, i noen tilfeller kan en hacker utføre et pass-the-cookie-angrep selv når en bruker har lukket nettleseren. Så det blir avgjørende at du tar de nødvendige sikkerhetstiltakene for å forhindre pass-the-cookie-angrep. Lær også brukerne dine om MFA-tretthetsangrep der hackere sender brukere en mengde push-varsler for å slite dem ned.