هکرها از کوکی ها برای شکست دادن احراز هویت دو مرحله ای استفاده می کنند

به گفته سوفوس، “سرقت کوکی” یکی از آخرین روندهای جرایم سایبری است که هکرها از آن برای دور زدن اعتبار و دسترسی به پایگاه های داده خصوصی استفاده می کنند.

توصیه امنیتی معمول برای سازمان ها این است که حساس ترین اطلاعات خود را به سرویس های ابری منتقل کنند یا از احراز هویت چند عاملی (MFA) به عنوان یک اقدام ایمنی استفاده کنند. با این حال، بازیگران بد متوجه شده‌اند که چگونه کوکی‌های مرتبط با اعتبارنامه‌ها را بکشند و آن‌ها را برای هک کردن در جلسات وب فعال یا اخیر برنامه‌هایی که اغلب به‌روزرسانی نمی‌شوند، کپی کنند.

این هکرها می توانند از چندین ابزار و سرویس آنلاین مختلف از جمله مرورگرها، برنامه های کاربردی مبتنی بر وب، سرویس های وب، ایمیل های آلوده به بدافزار و فایل های ZIP بهره برداری کنند.

موذیانه ترین جنبه این سبک هک این است که کوکی ها به قدری به طور گسترده مورد استفاده قرار می گیرند که می توانند به کاربران مخرب کمک کنند حتی در صورت وجود پروتکل های ایمنی به سیستم ها دسترسی پیدا کنند. Sophos خاطرنشان کرد که بات‌نت Emotet یکی از بدافزارهای سرقت کوکی است که با وجود تمایل مرورگر به رمزگذاری و احراز هویت چندعاملی، داده‌های موجود در مرورگر Google Chrome، مانند اطلاعات کاربری ورود به سیستم ذخیره‌شده و جزئیات کارت پرداخت را هدف قرار می‌دهد.

در این پست آمده است که در مقیاس وسیع‌تر، مجرمان سایبری می‌توانند کوکی‌های داده‌های دزدیده شده، مانند اعتبارنامه‌ها را از بازارهای زیرزمینی خریداری کنند. اعتبار ورود یک توسعه دهنده بازی Electronic Arts به بازاری به نام جنسیس ختم شد که ظاهراً توسط گروه اخاذی Lapsus$ خریداری شده بود. این گروه توانست اعتبار ورود به سیستم کارمندان EA را تکرار کند و در نهایت به شبکه های این شرکت دسترسی پیدا کند و 780 گیگابایت داده را به سرقت ببرد. این گروه جزئیاتی در مورد کد منبع بازی و موتور گرافیکی که برای باج‌گیری از EA استفاده می‌کردند، جمع‌آوری کردند.

به طور مشابه، Lapsus$ پایگاه داده های Nvidia را در ماه مارس هک کرد. گزارش‌ها ادعا می‌کنند که این نقض ممکن است اطلاعات ورود بیش از 70000 کارمند، علاوه بر 1 ترابایت داده‌های شرکت، از جمله شماتیک‌ها، درایورها و جزئیات سیستم‌افزار را فاش کرده باشد. با این حال، هیچ صحبتی در مورد اینکه آیا هک به دلیل سرقت کوکی بوده است یا خیر وجود ندارد.

اگر محصولات نرم‌افزاری مانند سرویس‌های وب آمازون (AWS)، Azure یا Slack باشند، دیگر فرصت‌های سرقت کوکی ممکن است به راحتی شکسته شوند. آنها می توانند با هکرهایی شروع کنند که دسترسی اولیه دارند اما کاربران را فریب می دهند تا بدافزار دانلود کنند یا اطلاعات حساس را به اشتراک بگذارند. چنین سرویس‌هایی معمولاً باز می‌مانند و دائماً در حال اجرا هستند، به این معنی که کوکی‌های آن‌ها به اندازه کافی منقضی نمی‌شوند تا پروتکل‌هایشان از نظر امنیت قابل اعتماد باشند.

Sophos خاطرنشان می کند که کاربران می توانند به طور منظم کوکی های خود را پاک کنند تا پروتکل بهتری داشته باشند. با این حال، این بدان معنی است که هر بار باید دوباره احراز هویت شود.

توصیه های سردبیران