Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.
O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.
Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.
Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?
Garść rad na koniec:
- w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
- od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
- pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)
~ms
Twórca strony może sprawdzić czy sesja jest wznawiana z tego samego kraju co poprzednio i z tej samej przeglądarki. Serwis może też zapamiętać najczęściej używanych operatorów internetowych przez użytkownika i jeśli nastąpi połączenie z sieci nowego operatora, usunąć sesję, wymusić logowanie.
Na papierze pomysł dobry natomiast znajdzie się spora liczba osób które przez takie restrykcje musiałyby się logować po x razy dziennie. Byłoby to szczególnie uciążliwe dla tych osób natomiast useragent przegladarki atakujący może podmienić bardzo prosto… Dobrze kombinujesz ale nikt tego nie wprowadzi ze względu na wygodę użytkowników masowych.