Неко не мора да зна ваше лозинке ако уместо тога успешно украде колачиће вашег претраживача.

Вишефакторска аутентификација додаје додатне слојеве безбедности услугама у облаку, али није увек сигурна. Људи сада спроводе нападе на „продај колачић“ да би заобишли МФА и добили приступ вашим услугама у облаку. Када уђу, могу да украду, ексфилтрирају или шифрују ваше осетљиве податке.

Али шта је тачно напад „пасс-тхе-цоокие“, како функционише и шта можете да урадите да бисте се заштитили од њега? Хајде да сазнамо.

Шта је напад „Продај колачић“?

Коришћење колачића сесије за заобилажење аутентификације назива се напад „продај колачић“.

Када корисник покуша да се пријави на веб апликацију, апликација ће тражити од корисника да унесе своје корисничко име и лозинку. Ако је корисник омогућио вишефакторску аутентификацију, мораће да пошаље додатни фактор аутентификације као што је код послат на његову адресу е-поште или број телефона.

Када корисник прође вишефакторску аутентификацију, колачић сесије се креира и чува у корисниковом веб претраживачу. Овај колачић сесије омогућава кориснику да остане пријављен уместо да поново и изнова пролази кроз процес аутентификације кад год дође до нове странице веб апликације.

Колачићи сесије поједностављују корисничко искуство јер корисник не мора поново да се аутентификује сваки пут када пређе на следећу страницу веб апликације. Али колачићи сесије такође представљају озбиљну безбедносну претњу.

Ако неко може да украде колачиће сесије и убаци те колачиће у своје претраживаче, веб апликације ће веровати колачићима сесије и омогућити лопову потпуни приступ.

У случају да нападач добије приступ вашем Мицрософт Азуре, Амазон Веб Сервицес или Гоогле Цлоуд налогу, може да изазове непоправљиву штету.

Како функционише напад "продај колачић".

Ево како неко изводи напад "продај колачић".

Екстраховање колачића сесије

Први корак у спровођењу напада пасс-тхе-цоокие је издвајање колачића сесије корисника. Постоје различите методе које хакери користе за крађу колачића сесије, укључујући скриптовање на више локација, пхисхинг, Напади човека у средини (МИТМ)., или тројански напади.

Злонамерни актери ових дана продају украдене колачиће сесије на мрачном вебу. То значи да сајбер криминалци не морају да се труде да извуку колачиће сесије корисника. Куповином украдених колачића, сајбер криминалци могу лако да планирају напад „продај колачић“ за добијање приступа поверљивим подацима и осетљивим информацијама жртве.

Преношење колачића

Када инфилтратор добије колачић сесије корисника, убациће украдени колачић у свој веб претраживач да би започео нову сесију. Веб апликација ће помислити да легитимни корисник започиње сесију и одобриће приступ.

Сваки веб претраживач другачије рукује колачићима сесије. Колачићи сесије ускладиштени у Мозилла Фирефок-у нису видљиви за Гоогле Цхроме. А када се корисник одјави, колачић сесије аутоматски истиче.

Ако корисник затвори претраживач без одјављивања, колачићи сесије могу бити избрисани у зависности од подешавања вашег претраживача. Веб претраживач можда неће избрисати колачиће сесије ако је корисник подесио претраживач да настави тамо где је стао. То значи да је одјављивање поузданије средство за брисање колачића сесије него гашење претраживача без одјављивања са веб апликације.

Како ублажити нападе на Пасс-тхе-Цоокие

Ево неколико начина да спречите нападе „продај колачић“.

Имплементација сертификата клијената

Ако желите да заштитите своје кориснике од напада преношења колачића, давање трајног токена може бити добра идеја. И овај токен ће бити везан за сваки захтев за повезивање са сервером.

Ово можете да остварите коришћењем сертификата клијената који су ускладиштени у систему да бисте утврдили да ли су они они за које тврде да јесу. Када клијент упути захтев за повезивање са сервером користећи свој сертификат, ваша веб апликација ће користити сертификат да идентификује извор сертификата и одреди да ли клијенту треба дозволити приступ.

Иако је ово безбедан метод за борбу против напада „продај колачић“, он је погодан само за веб апликације које имају ограничен број корисника. Веб апликације са огромним бројем корисника сматрају да је прилично изазовно имплементирати клијентске сертификате.

На пример, веб локација за е-трговину има кориснике широм света. Замислите само колико би било тешко применити сертификате клијената за сваког купца.

Додајте још контекста захтевима за повезивање

Додавање више контекста захтевима за повезивање са сервером за верификацију захтева може бити још један начин за спречавање напада „продај колачић“.

На пример, неке компаније захтевају ИП адресу корисника пре него што дају приступ својим веб апликацијама.

Лоша страна ове методе је што нападач може бити присутан у истом јавном простору, као што је аеродром, библиотека, кафић или организација. У том случају, приступ ће бити одобрен и сајбер криминалцу и легитимном кориснику.

Користите отисак прста у претраживачу

Иако можда обично желите брани се од отиска прста у претраживачу, може вам заправо помоћи да се борите против напада "продај колачић". Отисак прста претраживача вам омогућава да додате више контекста захтевима за повезивање. Информације као што су верзија прегледача, оперативни систем, модел уређаја корисника, подешавања жељеног језика и проширења претраживача могу да се користе за идентификацију контекста било ког захтева како би се осигурало да је корисник управо онај за кога тврди бити.

Колачићи су стекли лош назив јер се често користе за праћење корисника, али су опције за њихово онемогућавање. Насупрот томе, када имплементирате отисак прста у претраживачу као елемент контекста идентитета било ком захтев за повезивање, уклањате опцију избора, што значи да корисници не могу да онемогуће или блокирају претраживач узимање отисака прстију.

Коришћење алата за откривање претњи је одличан начин за откривање налога који се злонамерно користе.

Добар алат за сајбер безбедност ће проактивно скенирати вашу мрежу и упозорити вас на било коју неуобичајену активност пре него што може да направи значајну штету.

Појачајте безбедност да бисте ублажили напад на Пасс-тхе-Цоокие

Напади „Продај колачић“ представљају озбиљну безбедносну претњу. Нападачи не морају да знају ваше корисничко име, лозинку или било који други додатни фактор аутентификације да би приступили подацима. Они само морају да украду ваше колачиће сесије и могу да уђу у ваше окружење у облаку и украду, шифрују или ексфилтрирају осетљиве податке.

Што је још горе, у неким случајевима, хакер може да изврши напад „продај колачић“ чак и када је корисник затворио свој претраживач. Стога постаје кључно да предузмете неопходне мере безбедности како бисте спречили нападе „продај колачић“. Такође, едукујте своје кориснике о МФА нападима замора у којима хакери шаљу корисницима низ пусх обавештења да их исцрпе.