Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.

06 listopada 2024, 12:12 | W biegu | komentarze 2

O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.

Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.

Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?

Garść rad na koniec:

  • w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
  • od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
  • pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. tmk

    Twórca strony może sprawdzić czy sesja jest wznawiana z tego samego kraju co poprzednio i z tej samej przeglądarki. Serwis może też zapamiętać najczęściej używanych operatorów internetowych przez użytkownika i jeśli nastąpi połączenie z sieci nowego operatora, usunąć sesję, wymusić logowanie.

    Odpowiedz
    • frodo

      Na papierze pomysł dobry natomiast znajdzie się spora liczba osób które przez takie restrykcje musiałyby się logować po x razy dziennie. Byłoby to szczególnie uciążliwe dla tych osób natomiast useragent przegladarki atakujący może podmienić bardzo prosto… Dobrze kombinujesz ale nikt tego nie wprowadzi ze względu na wygodę użytkowników masowych.

      Odpowiedz

Odpowiedz