Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.

06 listopada 2024, 12:12 | W biegu | komentarzy 47

O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.

Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.

Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?

Garść rad na koniec:

  • w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
  • od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
  • pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)
Potrzebujesz szkolenia o bezpieczeństwie dla wszystkich pracowników? Pisz do nas na sekurak@sekurak.pl lub zobacz szczegóły tutaj.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. tmk

    Twórca strony może sprawdzić czy sesja jest wznawiana z tego samego kraju co poprzednio i z tej samej przeglądarki. Serwis może też zapamiętać najczęściej używanych operatorów internetowych przez użytkownika i jeśli nastąpi połączenie z sieci nowego operatora, usunąć sesję, wymusić logowanie.

    Odpowiedz
    • frodo

      Na papierze pomysł dobry natomiast znajdzie się spora liczba osób które przez takie restrykcje musiałyby się logować po x razy dziennie. Byłoby to szczególnie uciążliwe dla tych osób natomiast useragent przegladarki atakujący może podmienić bardzo prosto… Dobrze kombinujesz ale nikt tego nie wprowadzi ze względu na wygodę użytkowników masowych.

      Odpowiedz
    • Maciej

      narzędzia typu BLTools już ci od razu sprawdzają w jakiej przegladarce ciasteczka działają

      Odpowiedz
    • Michał

      Twórca może.
      Ale nie musi.
      Jaki jest procent stron którym twórcom się chciało ?

      Odpowiedz
  2. Jeff

    Używać przeglądarki w trybie incognito xd

    Odpowiedz
  3. lol

    głupi jestem ale czy po takim wgraniu ciasteczka na innym urządzeniu, strona nie mogłaby wywalić jakiegoś testu typu: podaj 2fa xD xD xD chyba lepiej dać uciążliwe potwierdzenie niż dać łatwy dostęp do konta xD co sprawia że nie chcą wdrażać takich testów ? gdy strona wykryje dzięki trylionom telemetrii windowsa/androida/google że logujesz się 5000km od ostatniego miejsca logowania xD

    Odpowiedz
    • Można (niektóre aplikacje coś takiego nawet stosują), ale to dodatkowa komplikacja, potencjalne false positives, etc

      Dodatkowo – w przypadku np. banku gra jest warta świeczki. Ale w przypadku dostawcy darmowej poczty…

      Odpowiedz
      • martenka

        A jako opcja do wyboru? – Kto chce, niech włączy.

        Z tymi adresami IP… czy ktoś robił badania ile razy na dzień/tydzień/miesiąc zmieniamy adres IP? Może wcale nie jest to tak często? Mi by nie przeszkadzało logowanie co kilka dni.

        Odpowiedz
      • Romek

        Żartujesz? W artykule piszecie że używając poczty po https jesteśmy bezpieczni nawet pod publicznym hotspotem – to jest nieprawda. Atakujący może podstawić własny certyfikat i czytać cały ruch.

        Ta „tylko” darmowa poczta może dać dostęp do logowania do Facebooka, banku, sklepów internetowych i otworzyc droge do wielu phishingowych ataków na znajomych ofiary.

        Odpowiedz
        • Pro tip: alerty w przeglądarce o takim działaniu + konieczność zaakceptowania tego alertu. A bardzo często (poczta, banki, …) nawet brak możliwości zaakceptowania alertu na całą stronę (AKA HSTS).

          ~Jedyny sensowny atak via publiczne WiFi to podstawienie własnego captive portalu i próba wyłudzenia na nim danych logowania.

          Odpowiedz
      • Artur

        Hmm. Do Googla na 2fa nawet jak ktoś ciasteczko ukradnie, albo nawet zna hasło to przy próbie logowania z innego mac adresu jest od razu podrzucany mail. Czy aby na 100% to Ty. Jednym klikiem zamykamy mu sesję.

        Odpowiedz
        • Jatek

          Jeśli śledzisz swoją pocztę 24/7 to takie powiadomienie ok. Ale wiekszość ludzi tego nie robi.

          Odpowiedz
          • Archi

            Nic nie trzeba śledzić, powiadomienia ci nie przychodzą na smartfon?

    • tmk

      Przecież na tym problem właśnie polega, że strona nie wie że ciastko jest już na innym urządzeniu. Zostało skopiowane z przeglądarki użytkownika i przesłane do sprawcy.

      Odpowiedz
  4. Makary

    Czy ustawienie w przeglądarce opcji usuwania ciasteczek po zakończeniu każdej sesji nie rozwiązuje tego problemu?

    Odpowiedz
    • Leszek

      co z tego że usuniesz w swojej przeglądarce jak po stronie serwera ciągle będzie aktywne. więc ukradzione dalej można używać.

      Odpowiedz
    • Jan

      Myślę że usunięcie z zalogowanych urządzeń sesji byłoby najbezpieczniejsze. Tylko pewnie najlepiej by było to zrobić na zaufanym urządzeniu. I jeszcze zresetować klucz stremongi live na YT jeśli ktoś prowadzi kanał.

      Odpowiedz
  5. Tomek

    A ja się zastanawiam dlaczego ciastka nie są powiązane z konkretną przeglądarką. Chodzi mi o to, że gdy strona zapisuje ciastko na komputerze użytkownika to te ciastko powinno być ważne tylko w tej, konkretnej, indywidualnej przeglądarce. Powinien być wyliczany jakiś hash i przyklejony do ciastka. Skopiowanie ciastka do innej przeglądarki powinno spowodować niezgodność hashu ze wzorem przeglądarki i ciastko straciłoby ważność.

    Odpowiedz
    • Masz na myśli chyba bardziej powiązanie z jakimiś nagłówkami HTTP wysyłanymi do serwera (bo tylko w taki sposób komunikuje się przeglądarka z serwerem – tj. protokół HTTP).

      Ale jak malware ma dostęp do komunikacji HTTPS(S) ofiary (a ma), to skopiuje sobie wszystko i end of story. Nie ma tu znaczenia przeglądarka.

      To co ew. może być podejrzane dla serwera to nagle inny adres IP klienta (np. z różnych krajów). Ale powiedzmy na to też są sposoby :|

      Odpowiedz
      • Alex

        Ale jak komputer jest zainfekowany, to dalszy atak można już wykonać z komputera ofiary. Tak naprawdę gdy twoje urządzenie jest zainfekowane to już może być pozamiatane.

        Odpowiedz
  6. Karol

    Gmail od dawna nie używa ciasteczek… Od wielu, wielu lat.

    Odpowiedz
  7. Menlo

    Co z zapamiętywaniem haseł w przeglądarce lub menadżerach haseł podłączonych do przeglądarki? Czy należy z tego zrezygnować w celu uchronienia się przed tym ?

    Odpowiedz
    • Generalnie jest OK.

      Z paroma gwiazdkami:

      * jak masz malware na kompie – to wyciągnie te hasła (nieco łatwiej niż z managera haseł)
      * synch do Google – jak masz słabo zabezpieczone konto (np. słabe hasło) – to patrz wyżej. Lepiej robić to bez synca.
      * jak masz przypadkiem konto dzielone z rodziną na jednym kompie, to Ci bez problemu wyciągną hasła z przeglądarki ;)

      Odpowiedz
  8. jaś

    dlatego od czasu do czasu warto wejść w ustawienia i sprawdzić wszystkie aktywne sesje, a potem się z nich wylogować. gmail. fb. x.

    Odpowiedz
  9. Norbert

    Mam trzy hasła.
    1 – do banku.
    2 – do upierdliwych stron, które wymagają długiego hasła z cyframi i znakami.
    3 – do pozostałych stron. Używam go od 2006 roku. To hasło chula po necie, wyciekło dziesiątki razy i nie widzę sensu w wymyślaniu nowego skoro kolejne i tak zaraz gdzieś wycieknie.
    Nie wiem gdzie przeciętni ludzie się logują i co takiego robią w necie, że się boją wykradzenia hasła.
    Poza tym, parę lat temu poznałem dziewczynę o którą jakiś gość był chorobliwie zazdrosny i przez rok grzebał mi w telefonie, nawet cytował mi o czym rozmawiałem ze znajomymi, podczas, gdy telefon leżał na stole. Zmiany haseł nie miały sensu, bo miał full dostęp do telefonu, pewnie przez jakiś bug w którejś aplikacji, a nawet gdy próbowałem się z nim bawić
    i zmieniałem hasło do FB z kompa znajomego to mimo dwuetapowego logowania gość po mniej więcej godzinie pisał do mnie zadowolony jakie mam hasło.
    Czy mnie to zmartwiło? Nie. Przez ten rok powtórzyłem mu chyba z milion razy, że jest cymbałem i może pocałować mnie tam, gdzie słońce rzadko dociera i tyle.
    Nauczyło mnie to tylko tyle, że nawet będąc informatykiem i teoretycznie wiedząc jak to robią to i tak wszystkich możliwości nie zablokuje.
    A ten gość wiedząc, że mi wszystko wisi nawet nie miał możliwości, żeby mnie jakoś przestraszyć.
    Nie wiem co trzeba robić w necie, żeby się chować za silnymi hasłami i bać się, że ktoś odkryje prawdę…

    Odpowiedz
    • hoek

      O rety, nie sądziłem, że w 2024 przeczytam takie coś.

      Odpowiedz
    • Karol

      Pozbądź się tego egocentryzmu i zrozum że oprócz Ciebie istnieją jeszcze firmy dla których wykradzione hasła oraz ciasteczka to duże wyzwanie..

      Odpowiedz
  10. Maluszek88

    Chciałbym tak wejsc na konto zmarlej przyjaciółki i odzyskac nasze wspolne zdjęcia. Policja ich nie wydała bo nie mieli w tym interesu. Ale nie mam jej ciasteczek. Ehh. Za chwile google skasuje jej konto bo sie nie logowala 3 lata. Nic mi nie zostało. :(

    Odpowiedz
    • Szymon

      Skąd wiesz że jest zalogowana?

      Odpowiedz
      • Archi

        Typ mówi że zaraz minie 3 lata, zalogowana? Chyba do 30 dni… Przecież to scum, kolo szuka naiwniaka co mu harytatywnie shakuje konto obcej kobiety. Jakby chciał to by poszedł do rodziny i poprosił o sprawdzenie hasła na jej urządzeniu, do grobu wszystkich urządzeń nie wzięła.

        Odpowiedz
  11. Grzegorz

    Autoryzacja po mac adresie rozwiaze problem. A w banku mówimy o szyfrowaniu asymetrycznym więc tu nic nie grozi na bank!;)))
    Korzystaj z karty ,bo masz do 7dni na reklamacje
    Prawda jest taka, że nie łamie się zabezpieczeń a ludzi. Swojego komputera i ciasteczek nie upilnujesz. Chyba ,że oderwiemy prad;D

    Odpowiedz
  12. Andrusza

    Szyfrować ciasteczka w oparciu o klucz adresem fizycznym karty+numerem seryjnym dysku twardego+…..+unikalnym tajnym haszem nazwy użytkownika zalogowanego w sesji. Tak aby ciasteczko skopiowane z innego kompa było bezużyteczne:)

    Odpowiedz
  13. OzokuTM

    To z IP dobre ale lepiej wybrać MAC najczęściej jest jeden druga sprawa co do IP to jeszcze można pobierać 2 pierwsze numery one są najczęściej przypisywane do danego regionu/kraju

    Odpowiedz
    • tmk

      Przeglądarka nie wysyła numeru MAC karty sieciowej do serwera. Nie ma czegoś takiego w protokole HTTP ani nie da się tej informacji pozyskać przez javascript. Adres MAC funkcjonuje na warstwie drugiej w ramkach ethernet i jest nadpisywany przy każdym przejściu przez router. Serwery nie znają twojego adresu MAC.
      Poza tym jeżeli masz wirusa na komputerze to on wykradnie twoje ciasteczka i numer MAC jeżeli będzie miał na to ochotę.

      Odpowiedz
  14. Jacek

    Nawet najbardziej wymyślny system przegrywa z beztroską użytkownika. Edukacja edukacja edukacja…

    Odpowiedz
  15. D

    Ok, czym najlepiej przeskanować komputer, żeby sprawdzić czy nie jest zainfekowany. Czy jest jeden program czy trzeba kilkoma?

    Odpowiedz
    • bobek

      Musisz zainstalować kilka programów antywirusowych, najlepiej uruchomić je wszystkie jednocześnie żeby komputer się grzał i ugotował wirusa.

      A tak serio to Malware bytes.

      Odpowiedz
  16. Krzysztof

    A nie wystarczy wprowadzić dwuetapowej weryfikacji do zmiany hasła? Chcesz zmienić hasło musisz je potwierdzić kodem z innego maila czy telefonu i sprawa rozwiązana. Chłopaki z google za dużo się bujają na tych ławkach i nie wpadają na najprostsze rozwiązania

    Odpowiedz
    • ale tu w ogóle nie jest wykorzystywana funkcja zmiany hasła

      Odpowiedz
  17. Według mnie najprościej jest nie klikać w żadne linki i usunąć mail, wiadomość z owym linkiem, używać przeglądarki np. tor, nie podawać żadnych haseł nikomu etc. i sprawa zakończona.

    Odpowiedz
  18. Michał

    MBank ma to fajnie rozwiązane. Jak loguję się z tego samego kompa ale w innym mieście to i tak mnie prosi o potwierdzenie w aplikacji mobilnej. Za to w swoim domu mogę się logować cały czas tylko loginem i hasłem bez konieczności dodatkowego potwierdzania. Oczywiście każda zmiana lokalizacji wymusza ponowną weryfikację, ale w domu klikam „zapamiętaj to urządzenie”, a nie „zezwol na jednorazowy dostęp” i problem z głowy.

    Odpowiedz
  19. Piotr

    A nie wystarczy po prostu potraktować kompa cleanerem? I usuwać ciasteczka?

    Odpowiedz
  20. Tmk

    Logując się na zainfekowanym urządzeniu, wystarczy się na nim wylogować po załatwieniu sprawy i 2FA jak najbardziej pomaga.

    Odpowiedz
    • Mhm. Na pewno znacznie minimalizuje ryzyko (btw nie zazwyczaj cieżko będzie stwierdzić czy akurat logujesz się na „zainfekowanym” urządzeniu, więc w zasadzie każde niezaufane trzeba traktować jako „zainfekowane”).

      Odpowiedz
  21. Rybak

    Czy logowanie się do banku na przeglądarce w trybie incognito, które jest zamykana po wylogowaniu, utrudnia wykradzenie ciasteczek ?

    Odpowiedz
  22. AdamB

    A w jaki sposób przejmują konta Microsoftu czy na Facebooku? Myślę że w podobny. Mnie jeszcze nie przejęli. Ale znajomym już tak.

    Odpowiedz
  23. Filip

    Nie wystarczy po prostu po stronie aplikacji (usługodawcy) weryfikować czy z jednej sesji korzysta obecnie więcej niż jeden klient? Jeśli tak to wyloguj na obu urządzeniach i wyślij powiadomienie do właściciela konta z informacją o potencjalnym wykradnięciu ciastek aktywnej sesji użytkownika itd.

    Odpowiedz

Odpowiedz