窃取 Cookie 是黑客用来绕过凭据和访问私人数据库的网络犯罪的最新趋势之一。针对组织的典型安全建议是将其最敏感的信息移至云服务或使用多因素身份验证 (MFA) 作为安全手段。然而,不良行为者已经想出了如何滑动连接到登录详细信息的 cookie 并复制它们以破解不经常刷新的程序的活动或最近的网络会话。
这些黑客能够利用多种不同的在线工具和服务,包括浏览器、基于 Web 的应用程序、Web 服务、受恶意软件感染的电子邮件和 ZIP 文件。
这种黑客攻击最阴险的方面是 cookie 的使用非常广泛,即使有安全协议,它们也可以帮助恶意用户访问系统。Emotet 僵尸网络就是这样一种窃取 cookie 的恶意软件,它以谷歌 Chrome 浏览器中的数据为目标,例如存储的登录信息和支付卡数据,尽管浏览器对加密和多因素身份验证具有亲和力。
该出版物称,在更广泛的范围内,网络犯罪分子可以购买被盗的 cookie 数据,例如来自地下市场的凭证。电子艺界游戏开发商的登录详细信息最终出现在一个名为 Genesis 的市场上,据报道该市场被勒索组织 Lapsus$ 收购。该组织能够复制 EA 员工的登录凭据并最终获得对公司网络的访问权限,窃取了 780 GB 的数据。该组织收集了他们用来勒索 EA 的游戏和图形引擎源代码详细信息。
同样,Lapsus$在 3 月份入侵了 Nvidia 的数据库。报告称,该漏洞可能泄露了超过 70,000 名员工的登录信息,以及来自公司的 1TB 数据,包括原理图、驱动程序和固件详细信息。但是,没有关于黑客是否是由于 cookie 窃取的消息。
如果其他 cookie 窃取机会是软件即服务产品,例如 Amazon Web Services (AWS)、Azure 或 Slack,它们可能很容易被破解。这些可以从具有基本访问权限但诱骗用户下载恶意软件或共享敏感信息的黑客开始。此类服务往往保持开放并持续运行,这意味着它们的 cookie 不会经常过期,以至于它们的协议在安全方面是健全的。
用户可以定期清除他们的 cookie 以保持更好的协议;但是,这意味着每次都必须重新进行身份验证。