Hacker verwenden Cookies, um die Zwei-Faktor-Authentifizierung zu umgehen

Eskere Guru

Laut Sophos gehört „Cookie-Diebstahl“ zu den neuesten Trends bei Cyberkriminalität, die Hacker nutzen, um Zugangsdaten zu umgehen und auf private Datenbanken zuzugreifen.

Typische Sicherheitsempfehlungen für Organisationen waren, ihre sensibelsten Informationen in Cloud-Dienste zu verschieben oder Multifaktor-Authentifizierung (MFA) als Sicherheitsmaßnahme zu verwenden. Betrüger haben jedoch herausgefunden, wie sie mit Anmeldedaten verbundene Cookies auslesen und replizieren können, um die aktiven oder letzten Websitzungen von Programmen zu hacken, die normalerweise nicht aktualisiert werden.

Ein großer Monitor, auf dem eine Warnung vor Sicherheitsverletzungen angezeigt wird.
Stock Depot/Getty Images

Diese Hacker sind in der Lage, verschiedene Online-Tools und -Dienste auszunutzen, darunter Browser, webbasierte Anwendungen, Webdienste, mit Malware infizierte E-Mails und ZIP-Dateien.

Der heimtückischste Aspekt dieser Art des Hackens ist, dass Cookies so weit verbreitet sind, dass sie schändlichen Benutzern helfen können, auf Systeme zuzugreifen, selbst wenn Sicherheitsprotokolle vorhanden sind. Sophos stellte fest, dass das Emotet-Botnet eine solche Cookie-stehlende Malware ist, die auf Daten im Google Chrome-Browser abzielt, wie gespeicherte Logins und Zahlungskartendaten, trotz der Affinität des Browsers zur Verschlüsselung und Multifaktor-Authentifizierung.

Auf breiterer Ebene können Cyberkriminelle gestohlene Cookie-Daten wie Anmeldeinformationen von unterirdischen Marktplätzen erwerben, heißt es in der Veröffentlichung. Die Zugangsdaten eines Spieleentwicklers von Electronic Arts landeten auf einem Marktplatz namens Genesis, der Berichten zufolge von der Erpressergruppe Lapsus$ gekauft wurde. Die Gruppe war in der Lage, die Anmeldedaten von EA-Mitarbeitern zu replizieren und sich schließlich Zugang zu den Netzwerken des Unternehmens zu verschaffen, wobei 780 Gigabyte an Daten gestohlen wurden. Die Gruppe sammelte Details zum Quellcode von Spielen und Grafik-Engines, mit denen sie versuchte, EA zu erpressen.

Ebenso hackte Lapsus$ im März die Datenbanken von Nvidia. Berichten zufolge könnte der Verstoß die Anmeldeinformationen von mehr als 70.000 Mitarbeitern offengelegt haben, zusätzlich zu 1 TB an Daten des Unternehmens, einschließlich Schaltplänen, Treibern und Firmware-Details. Es gibt jedoch kein Wort darüber, ob der Hack auf Cookie-Diebstahl zurückzuführen war.

Andere Cookie-Stehlmöglichkeiten könnten leicht zu knacken sein, wenn es sich um Software-as-a-Service-Produkte wie Amazon Web Services (AWS), Azure oder Slack handelt. Diese können damit beginnen, dass Hacker einfachen Zugriff haben, Benutzer aber dazu verleiten, Malware herunterzuladen oder vertrauliche Informationen zu teilen. Solche Dienste neigen dazu, offen zu bleiben und dauerhaft zu laufen, was bedeutet, dass ihre Cookies nicht oft genug ablaufen, damit ihre Protokolle in Bezug auf die Sicherheit solide sind.

Sophos weist darauf hin, dass Benutzer ihre Cookies regelmäßig löschen können, um ein besseres Protokoll aufrechtzuerhalten; Dies bedeutet jedoch, dass Sie sich jedes Mal neu authentifizieren müssen.