Netko ne mora znati vaše lozinke ako umjesto toga uspješno ukrade kolačiće vašeg preglednika.
Višestruka provjera autentičnosti dodaje dodatne slojeve sigurnosti uslugama u oblaku, ali nije uvijek sigurna. Ljudi sada provode napade prijenosom kolačića kako bi zaobišli MFA i dobili pristup vašim uslugama u oblaku. Jednom kada uđu, mogu ukrasti, eksfiltrirati ili šifrirati vaše osjetljive podatke.
Ali što je točno napad prijenosom kolačića, kako funkcionira i što možete učiniti da se zaštitite od njega? Hajde da vidimo.
Što je Pass-the-Cookie napad?
Korištenje sesijskog kolačića za zaobilaženje autentifikacije naziva se napad prijenosa kolačića.
Kada se korisnik pokuša prijaviti na web aplikaciju, aplikacija će od korisnika tražiti da unese svoje korisničko ime i lozinku. Ako je korisnik omogućio višestruku provjeru autentičnosti, morat će poslati dodatni faktor provjere autentičnosti poput koda koji se šalje na njegovu adresu e-pošte ili telefonski broj.
Nakon što korisnik prođe višestruku autentifikaciju, sesijski kolačić se stvara i pohranjuje u web pregledniku korisnika. Ovaj sesijski kolačić omogućuje korisniku da ostane prijavljen umjesto da uvijek iznova prolazi kroz postupak provjere autentičnosti kad god prijeđe na novu stranicu web aplikacije.
Sesijski kolačići pojednostavljuju korisničko iskustvo jer se korisnik ne mora ponovno autentificirati svaki put kada prijeđe na sljedeću stranicu web aplikacije. Ali kolačići sesije također predstavljaju ozbiljnu sigurnosnu prijetnju.
Ako netko uspije ukrasti kolačiće sesije i ubaciti te kolačiće u svoje preglednike, web aplikacije će vjerovati kolačićima sesije i dopustiti lopovu potpuni pristup.
U slučaju da napadač dobije pristup vašem Microsoft Azure, Amazon Web Services ili Google Cloud računu, može uzrokovati nepopravljivu štetu.
Kako funkcionira napad Pass-the-Cookie
Evo kako netko izvodi napad prosljeđivanjem kolačića.
Izdvajanje sesijskog kolačića
Prvi korak u provođenju napada prijenosa kolačića je izdvajanje kolačića sesije korisnika. Postoje različite metode koje hakeri koriste za krađu kolačića sesije, uključujući cross-site skriptiranje, krađa identiteta, Man-in-the-middle (MITM) napadi, ili trojanski napadi.
Zlonamjerni akteri ovih dana prodaju ukradene kolačiće sesije na mračnom webu. To znači da se kibernetički kriminalci ne moraju truditi izdvojiti kolačiće sesije korisnika. Kupnjom ukradenih kolačića kibernetički kriminalci mogu lako isplanirati napad prijenosom kolačića za pristup povjerljivim podacima i osjetljivim informacijama žrtve.
Dodavanje kolačića
Nakon što infiltrator dobije kolačić sesije korisnika, ubacit će ukradeni kolačić u svoj web-preglednik kako bi započeo novu sesiju. Web aplikacija će misliti da legitimni korisnik pokreće sesiju i odobriti pristup.
Svaki web preglednik drugačije obrađuje sesijske kolačiće. Kolačići sesije pohranjeni u Mozilla Firefoxu nisu vidljivi Google Chromeu. A kada se korisnik odjavi, kolačić sesije automatski ističe.
Ako korisnik zatvori preglednik bez odjave, kolačići sesije mogu biti izbrisani ovisno o postavkama vašeg preglednika. Web-preglednik možda neće izbrisati sesijske kolačiće ako je korisnik postavio preglednik da nastavi tamo gdje je stao. To znači da je odjava pouzdaniji način brisanja kolačića sesije nego gašenje preglednika bez odjave s web aplikacije.
Kako ublažiti napade Pass-the-Cookie
Evo nekoliko načina za sprječavanje napada prosljeđivanjem kolačića.
Implementirajte klijentske certifikate
Ako želite zaštititi svoje korisnike od napada prijenosa kolačića, davanje trajnog tokena može biti dobra ideja. I ovaj će token biti priložen uz svaki zahtjev za povezivanje poslužitelja.
To možete učiniti korištenjem certifikata klijenata pohranjenih u sustavu kako biste utvrdili jesu li oni oni za koje se predstavljaju. Kada klijent uputi zahtjev za povezivanje s poslužiteljem pomoću svojeg certifikata, vaša web aplikacija koristit će certifikat za identifikaciju izvora certifikata i određivanje treba li klijentu dopustiti pristup.
Iako je ovo sigurna metoda za borbu protiv napada prijenosa kolačića, prikladna je samo za web aplikacije koje imaju ograničen broj korisnika. Web aplikacijama s ogromnim brojem korisnika vrlo je teško implementirati klijentske certifikate.
Na primjer, web stranica za e-trgovinu ima korisnike diljem svijeta. Zamislite samo koliko bi teško bilo implementirati klijentske certifikate za svakog kupca.
Dodajte više konteksta zahtjevima za povezivanje
Dodavanje više konteksta zahtjevima za povezivanje s poslužiteljem radi provjere zahtjeva može biti još jedan način za sprječavanje napada prosljeđivanjem kolačića.
Na primjer, neke tvrtke zahtijevaju IP adresu korisnika prije odobravanja pristupa svojim web aplikacijama.
Loša strana ove metode je što napadač može biti prisutan u istom javnom prostoru, poput zračne luke, knjižnice, kafića ili organizacije. U tom će slučaju i cyber kriminalac i legitimni korisnik dobiti pristup.
Koristite Browser Fingerprinting
Iako to obično želite obrana od otiska prsta preglednika, zapravo vam može pomoći u borbi protiv napada prijenosa kolačića. Otisak prsta preglednika omogućuje vam dodavanje više konteksta zahtjevima za povezivanje. Informacije poput verzije preglednika, operativnog sustava, modela korisničkog uređaja, željenih jezičnih postavki i ekstenzije preglednika mogu se koristiti za prepoznavanje konteksta bilo kojeg zahtjeva kako bi se osiguralo da je korisnik točno onaj za kojeg tvrdi biti.
Kolačići su stekli loš glas jer se često koriste za praćenje korisnika, ali postoje opcije za njihovo onemogućavanje. Nasuprot tome, kada implementirate otiske prstiju preglednika kao element konteksta identiteta bilo kojem zahtjev za povezivanje, uklanjate opciju izbora, što znači da korisnici ne mogu onemogućiti ili blokirati preglednik uzimanje otisaka prstiju.
Korištenje alata za otkrivanje prijetnji odličan je način za otkrivanje računa koji se koriste zlonamjerno.
Dobar alat za kibernetičku sigurnost proaktivno će skenirati vašu mrežu i upozoriti vas na bilo kakvu neuobičajenu aktivnost prije nego što učini bilo kakvu značajnu štetu.
Pojačajte sigurnost kako biste ublažili napad Pass-the-Cookie
Pass-the-cookie napadi ozbiljna su sigurnosna prijetnja. Napadači ne moraju znati vaše korisničko ime, lozinku ili bilo koji drugi dodatni faktor provjere autentičnosti da bi pristupili podacima. Oni samo trebaju ukrasti vaše kolačiće sesije i mogu ući u vaše okruženje oblaka i ukrasti, šifrirati ili eksfiltrirati osjetljive podatke.
Što je još gore, u nekim slučajevima haker može izvesti napad prijenosom kolačića čak i kada je korisnik zatvorio svoj preglednik. Stoga postaje ključno da poduzmete potrebne sigurnosne mjere kako biste spriječili napade prijenosom kolačića. Također, educirajte svoje korisnike o MFA napadima umora u kojima hakeri šalju korisnicima niz push obavijesti kako bi ih iscrpili.