Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.

O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.

Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.

Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?

Garść rad na koniec:

• w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
• od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
• pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)

~ms