Каждому сайту доступны cookie-файлы, и хакеры ими пользуются. Новый способ взлома аккаунтов
В 2020 году киберпреступники научились взламывать аккаунты жертв по-новому — с помощью cookie-файлов — либо точечно подбирают жертву, либо используют эти данные для самого взлома. Проблема в том, что доступ к ним имеет почти каждый веб-сайт. Как управлять cookie-файлами и обезопасить себя от взлома — в материале Лайфа.
Фото © Shutterstock
Что такое cookie? Благодаря им сайты знают о нас всё
Cookie — это небольшие текстовые документы, хранящиеся на компьютере пользователя. В них записывается практически любая информация о посетителе сайта: во сколько и с какого устройства он зашёл на страницу, какими товарами интересовался, какие поисковые запросы он вбивал, и так далее.
Почти каждый сайт запрашивает разрешение на их использование при первом посещении. Основное их назначение — экономия времени и для пользователя, и для ресурса. Юзер может один раз ввести логин и пароль, в следующие разы они будут добавлены автоматически, достаточно будет лишь кликнуть на "Войти". Условному интернет-магазину это позволяет предлагать товары более точно. Если последние просмотренные посетителем товары — обогреватели Xiaomi, то на главной странице появятся преимущественно эти приборы от конкретного бренда.
Фото © Shutterstock
Причём cookie-файлы хранятся надёжно. Пароли зашифрованы, и в случае взлома сайта хакеры не получат данные пользователей в открытом виде. "Куки" напрямую не отображают пароли, а вместо этого они содержат хеш, который хранит ваш пароль. Когда пароль был хеширован, он был зашифрован таким образом, чтобы прочитать его мог только тот веб-сайт, с которого он был записан в "куки". Каждый сайт использует уникальный алгоритм шифрования для кодирования хеша и его раскодирования, — говорит руководитель департамента системных решений Group-IB Станислав Фесенко.
Также на основе cookie настраиваются показы рекламы в Интернете. Таргетированные баннеры работают на основе истории браузера, это тоже файлы cookie.
Какими бывают cookie?
Они делятся на два типа:
1. Временные. Это данные о просмотренных страницах, записи форм заказов и другая информация, позволяющая клиентам упростить пользование сайтом. Удаляются после ухода посетителя с ресурса.
2. Постоянные. Не удаляются после окончания взаимодействия с сайтом. Отображают историю посещений сайта. Это логин и пароль, если пользователь их кеширует после регистрации. История браузера и просмотренных страниц на сайте.
Их время хранения зависит от того, в какой зоне находятся эти файлы. Их три: белая, серая и тёмная.
- Белая зона — временные и постоянные cookie. Ими легко управлять, можно удалять.
- Серая зона — сторонние cookie, которые записывает не сам сайт, а другой фрагмент кода. Например, рекламный баннер. Посещённые страницы на сайтах позволяют сформировать круг предпочтений пользователя.
- Тёмная зона — supercookie и evercookie, их записывать запрещено, поисковики блокируют сайты, которые это делают. Они считываются только в случае взлома сайта или при использовании ненадёжного протокола передачи данных. Evercookie — неудаляемые, они могут восстановиться даже после принудительного стирания из истории браузера.
Как используют cookie мошенники?
Фото © Shutterstock
Прежде всего они помогают точнее выбрать жертву. Главным трендом развития мошенничества в Интернете аналитики Group-IB считают персонализацию и таргетирование атак. Жертва выбирается на основе анализа файлов cookie.
Впрочем, для взлома могут использоваться и они непосредственно. В cookie-файлы запрещено записывать персональные данные пользователей. То есть идентифицировать жертву напрямую с их помощью нельзя. Пароли здесь также не получить. При этом они упрощают процесс взлома, так как хранят данные для входа в аккаунт.
— Установив файлы cookie с хешированными паролями в свой веб-браузер, киберпреступник может немедленно получить доступ к аккаунту на этом сайте, при этом ему не понадобится вводить регистрационные данные жертвы. Если злоумышленник сможет получить доступ к вашему компьютеру или вашей сети, то с большой долей вероятности он завладеет и "куки". Например, с помощью расширения для браузера Firefox под названием Firesheep, — рассказал руководитель департамента системных решений Group-IB Станислав Фесенко.
Когда веб-сайты "запоминают" пользователя, они сохраняют в файлах cookie уникальный ID сеанса, который позволяет идентифицировать человека. Злоумышленники могут обмануть веб-сайты, получив такой ID: "представиться" жертвой и взять под контроль её аккаунт. Один из вероятных сценариев, как злоумышленники могут реализовать такую схему, — заражение устройства вирусом.
В прошлом году Лаборатория Касперского обнаружила два вируса для Android, которые как раз сохраняли файлы cookie, записанные браузерами для смартфонов и приложениями популярных социальных сетей, в частности Facebook. Они позволяют злоумышленникам незаметно получать контроль над аккаунтом жертвы в социальной сети и распространять контент от её имени. Например, запускать масштабные спам- и фишинговые рассылки и атаки. Попав на устройство, троян получал root-права и передавал cookie-файлы браузера и установленного приложения соцсети на сервер злоумышленников.
Фото © Shutterstock
Есть и более совершенные вирусы. Зачастую иметь только ID сессии недостаточно для того, чтобы взять под контроль чужой аккаунт. У ряда веб-сайтов есть меры безопасности, позволяющие предотвратить подозрительные попытки входа. Именно для таких случаев был предназначен второй троян. Он мог запустить прокси-сервер на телефоне и предоставить злоумышленникам доступ в Интернет с устройства жертвы, чтобы обойти меры безопасности и таким образом войти в аккаунт.
Как законодательство регулирует cookie?
За последние несколько лет в индустрии технологий было множество громких скандалов с утечками пользовательской информации. Это повлияло на ужесточение законодательства в отношении cookie-файлов.
В Европе недавно приняли закон GDPR, а в России 152-ФЗ "О персональных данных". По ним каждый интернет-ресурс обязан уведомлять своих посетителей о том, что собирает эти файлы. Как правило, в баннере сообщается лишь о факте использования некоторых cookie-файлов, подробнее взаимодействие с ними описывается в разделе "Пользовательское соглашение".
Можно ли заблокировать сбор cookie-файлов?
Да. Есть три способа.
- Установить блокировщик рекламы. Например AdBlock. Таргетированным баннерам эти данные станут недоступны.
- Отключить их передачу в настройках браузера. Пройдите по "Настройки" —> "Конфиденциальность" и в разделе cookie закройте к ним доступ.
- Включить режим инкогнито. В нём сайтам становится недоступна любая информация о пользователе, она передаётся провайдеру.
Действия подойдут тем, кто слишком беспокоится насчёт приватности. При этом сайты будут взаимодействовать с пользователем менее точно. Например, в интернет-магазине на главной будут не подходящие для посетителя товары, а самые популярные.
Как обезопасить себя от кражи cookie?
Эксперт по кибербезопасности в Лаборатории Касперского Денис Легезо порекомендовал три действия:
— Не сохранять файлы cookie на тех сайтах, которые вызывают подозрение, или тогда, когда в этом нет необходимости.
— Соблюдать основные правила безопасности, которые снизят вероятность заражения устройства зловредами. Не скачивать приложения из сторонних магазинов, регулярно обновлять устройство и сканировать систему на предмет заражения, а также использовать надёжное защитное решение.
— Для дополнительного контроля можно использовать специальные расширения, с помощью которых возможно удалять, искать, защищать или блокировать cookie.
Четыре рекомендации от руководителя департамента системных решений Group-IB Станислава Фесенко:
— Не переходить по подозрительным ссылкам, чтобы смартфон или компьютер не был заражён банковским трояном.
— Не скачивать банковские приложения из недостоверных источников — только из официальных приложений банка в App Store и Google Play.
— Использовать сложные пароли — разные для всех устройств и ресурсов. Менять их раз в квартал.
— Для покупок в Интернете стоит завести отдельную банковскую карту. Не оставлять данные своего "пластика" на подозрительных ресурсах. Например, с протоколом http вместо https. Это может быть фишинг.