Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.
O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.
Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.
Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?
Garść rad na koniec:
- w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
- od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
- pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)
~ms
Twórca strony może sprawdzić czy sesja jest wznawiana z tego samego kraju co poprzednio i z tej samej przeglądarki. Serwis może też zapamiętać najczęściej używanych operatorów internetowych przez użytkownika i jeśli nastąpi połączenie z sieci nowego operatora, usunąć sesję, wymusić logowanie.
Na papierze pomysł dobry natomiast znajdzie się spora liczba osób które przez takie restrykcje musiałyby się logować po x razy dziennie. Byłoby to szczególnie uciążliwe dla tych osób natomiast useragent przegladarki atakujący może podmienić bardzo prosto… Dobrze kombinujesz ale nikt tego nie wprowadzi ze względu na wygodę użytkowników masowych.
Używać przeglądarki w trybie incognito xd
głupi jestem ale czy po takim wgraniu ciasteczka na innym urządzeniu, strona nie mogłaby wywalić jakiegoś testu typu: podaj 2fa xD xD xD chyba lepiej dać uciążliwe potwierdzenie niż dać łatwy dostęp do konta xD co sprawia że nie chcą wdrażać takich testów ? gdy strona wykryje dzięki trylionom telemetrii windowsa/androida/google że logujesz się 5000km od ostatniego miejsca logowania xD
Można (niektóre aplikacje coś takiego nawet stosują), ale to dodatkowa komplikacja, potencjalne false positives, etc
Dodatkowo – w przypadku np. banku gra jest warta świeczki. Ale w przypadku dostawcy darmowej poczty…