Cibercrime consolida o cookie como vetor crítico de ciberataques na web

Pesquisadores da equipe de SASE da Check Point Software alertam que os cookies podem deixar aplicações SaaS de uma organização vulneráveis a roubo de dados críticos e transações indevidas e não autorizadas; só em 2022, há 22 bilhões de registros de cookies roubados

Compartilhar:

Os cookies são uma das tecnologias da web mais importantes, mesmo sendo quase tão antigas quanto o próprio navegador web. Às vezes, eles têm uma má reputação, mas não se pode negar que os cookies tornam a vida digital mais fácil. Eles armazenam informações que nos permitem permanecer conectados a um site e desfrutar de uma experiência produtiva, em vez de ter que fazer login repetidamente e refazer as mesmas ações.

 

No entanto, os pesquisadores da Check Point Software alertam que os cookies também representam uma oportunidade para os atacantes, que podem roubá-los para realizar uma série de atividades ilícitas. Para as aplicações SaaS de uma organização, isso pode levar ao roubo ou uso indevido de dados sensíveis, transações não autorizadas, entre outros ataques e ameaças cibernéticas.

 

Neste caso, os pesquisadores estão falando de cookies de sessão. Aqueles cookies de sessão de curta duração – como os gerados por sites bancários – não são particularmente úteis para os atacantes. Entretanto, são os cookies com duração mais longa (ou persistentes) que os interessam, pois são usados em sessões “ativas” que podem persistir por muitas horas ou dias.

 

É importante observar que os cookies de sessão são usados para autenticar a identidade de um usuário, o que significa que são gerados após a autenticação de múltiplos fatores (MFA). Assim, quando o atacante consegue “passar o cookie” – ou usá-lo para uma nova sessão da web – ele pode se passar por um usuário legítimo.

 

Ameaça contínua

Os cookies de sessão podem ser roubados de várias maneiras, como explorar redes Wi-Fi não seguras, ataques de script entre sites, phishing, cavalos de Troia e outros malwares e ataques Man-in-the-Middle.

 

Para um exemplo do mundo real, há o malware Racoon Stealer, que é apenas uma das muitas famílias de malwares projetadas para roubar cookies. O grupo de hackers Lapsus$ supostamente usou o Racoon Stealer para obter acesso não autorizado aos sistemas da empresa de jogos eletrônicos Electronic Arts usando um cookie de sessão roubado. Eles criaram uma conta clone de um funcionário existente da EA e acabaram fugindo com centenas de GB de dados, incluindo o código-fonte do jogo.

 

De fato, o roubo de cookies é bastante comum, com uma estimativa de 22 bilhões de registros de cookies roubados em 2022. Outro importante alerta que os pesquisadores da Check Point Software ressaltam diz respeito ao Zero Trust e não apenas em como os cookies de sessão do SaaS são roubados. Portanto, eles detalham sobre como mitigar essa ameaça de roubo de cookies de sessão.

 

Defesa das aplicações SaaS

Atualmente, as aplicações SaaS são essenciais para fazer negócios, com as organizações utilizando em média 130 aplicações SaaS. Os cookies de sessão para uma aplicação SaaS dariam ao atacante acesso às mesmas informações e permissões do usuário legítimo. Isso poderia incluir transações de vendas e arquivos internos.

 

No caso de uma sessão de e-mail na web sequestrada, o atacante poderia acessar todos os e-mails do usuário, enviar e-mails que levam outros a tomar ações específicas que beneficiam o atacante, e muito mais. Para mitigar isto, a defesa contra os perigos de cookies de sessão roubados começa por uma solução de proteção SASE.

 

Uma proteção SASE proporciona a visibilidade e o controle necessários para mitigar os riscos de segurança do SaaS, atribuindo um endereço IP único e estático para a organização, e apenas o tráfego proveniente do seu endereço terá permissão de acesso às suas aplicações SaaS. O resto é negado por padrão. Mesmo que um atacante tenha obtido cookies de sessão ativos que, novamente, contornam o mecanismo MFA, o tráfego simplesmente seria bloqueado pelo servidor SaaS.

 

A fácil disponibilidade do SaaS significa acesso conveniente para as equipes das organizações, onde quer que estejam localizados, mas também dá aos atacantes ampla oportunidade para explorar brechas de segurança. Com 55% dos executivos de segurança relatando um incidente recente de segurança do SaaS, está claro que os ataques não estão diminuindo.

 

Além de um endereço IP único, uma proteção SASE também permite alinhar o acesso e as permissões dos usuários com suas funções e responsabilidades. Isso mantém todos “na sua linha” e impede o acesso não autorizado a aplicações e dados.

 

Conteúdos Relacionados

Security Report | Overview

Quais foram os impactos da Ciberguerra nas eleições dos EUA?

47ª eleição presidencial americana expõe os riscos envolvendo ataques DDoS que todos os países correm
Security Report | Overview

Player encontra novas técnicas de ataque contra Policy e Infrastructure as a Code

Security Report | Overview

Resposta a fraudes depende da cooperação entre bancos e varejo, sugere pesquisa

A adoção de ferramentas de IA para proliferar phishing, deepfakes e outros golpes está corroendo a confiança do consumidor nos...
Security Report | Overview

Pesquisa aponta uso de CAPTCHAs falsos para roubar dados de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas