Tajomstvo tkvie v dátach cookies.
Federálny vyšetrovací úrad (FBI) vydal varovanie, že kyberkriminálnici získavajú prístup k e-mailovým (a zrejme aj iným, pozn. redakcie) online kontám, pričom obchádzajú viacfaktorovú autentifikáciu, ako napríklad overovací kód v SMS alebo jednorazový kód v autentifikačnej aplikácii. Útok ide cez dáta cookies v prehliadači, konkrétne tzv. session cookie. Množstvo stránok ponúka automatické prihlásenie k online kontám cez tlačidlo na zapamätanie, anglicky Remeber me.
Pri prístupe z toho istého zariadenia nebude treba zadávať heslo ani sa autentifikovať kódom z viacfaktorovej autentifikácie, a v prípade nezdieľaných a heslovaných osobných zariadení veľa používateľom túto funkciu využíva. Tieto „autentifikačné cookies“ majú typicky platnosť 30 dní, a všetko funguje tak ako má. Až do doby, kým útočník tento kúsok dát nejakým spôsobom nezíska. Je to zvlášť relevantné pre poskytovateľov e-mailu ktorí používajú tzv. online-webmail-component.
Medzi takýchto poskytovateľov patria populárne služby Gmail, Outlook, Yahoo a AOL. Po získaní prístupu k e-mailu môže útočník spáchať rôzne úkony, od narušenia súkromia cez zistenie používanej banky, e-shopov a čítanie súkromnej pošty až po cielený kriminálny útok, vrátane zmenenia prístupových údajov k iným online kontám. Útočník taktiež môže len ticho sledovať e-maily a nedať najavo že má prístup, čo je obzvlášť nebezpečné.
Obranou je pravidelne sledovať zoznam zariadení a IP adries, ktoré ku kontu pristupujú, množstvo služieb však túto bezpečnostnú funkciu nemá. Ďalším rizikom je možné šírenie spamu a malvéru pod menom vlastníka účtu, čo je obzvlášť účinné ak má majiteľ v e-mailovom konte aj adresár so všetkými kontaktmi – teda aj tie, ktoré sa v aktuálnej histórii komunikácie nemusia vyskytovať.
Útočník sa k tejto session cookie vie v zriedkavých prípadoch dostať cez falošnú webstránku alebo cez MitM (Machine-in-the-Middle) útok, kde vie zachytiť prenos a cookies ukradnúť. Podmienkou je využitie nechráneného HTTP protokolu miesto HTTPS, čo tento typ útoku v dnešnom internete prakticky eliminuje. Ku krádeži dát dochádza typicky cez malvér v počítači. Moderné softvéry na kradnutie informácii to dokážu a detegovanie session cookie je súčasťou ich repertoáru.
Ohrození sú hlavne používatelia klasických desktopových systémov. Mobilné operačné systémy okrem striktného sandboxingu a inštalácie aplikácii (typicky) len zo zdrojov ako App Store, Google Play a Galaxy Store chráni aj to, že na automatický prístup ku kontám ako sú sociálne siete, YouTube a Gmail sa používa dedikovaná aplikácia a nie prehliadač. Mobilných aplikácii pre rôzne služby je neúrekom, používatelia desktopov si na prístup často musia vystačiť s internetovým prehliadačom.
Základnou obranou proti útoku je neinštalovať neznámy softvér z kade-tade, vrátane e-mailových príloh. Taktiež je dôležité mať aktualizovaný systém, aktualizácie totiž často opravujú veľa bezpečnostných chýb. Veľmi pomôže nepoužívať funkciu na zapamätanie si používateľa v online službách, ktorá je pohodlná, ale ako je uvedené v tomto článku, riskantná. Po skončení práce v online kontách sa treba odhlásiť a vymazať cookies z prehliadača. Ideálne je používať aj inkognito režim.
Manuálne odhlásenie taktiež zvykne zneplatniť alebo odstrániť ID relácie zo servera a útočník s ukradnutým cookies sa už neprihlási. Neplatí to však 100% univerzálne. Tradičnou ochranou je navštevovať výhradne stránky s HTTPS a taktiež, ak to prevádzkovateľ umožňuje, kontrolovať si zoznam prihlásených zariadení a IP adries či tam niečo neautorizované nepribudlo, čo však v prípade vyššieho množstva kont na Internete vyžaduje disciplínu.
