L'autenticazione a più fattori è un ottimo modo per tenere a bada i criminali informatici, ma alcuni sembrano essere in grado di aggirare questo tipo di protezione rubando i cookie di sessione di app e browser.
I ricercatori di sicurezza informatica di Sophos affermano di vedere un crescente appetito per i cookie, tra i malware di tutti i livelli di sofisticatezza. Da ladri di dati come Racoon Stealer o RedLine Stealer a Trojan distruttivi come Emotet, un numero crescente di virus e malware ha capacità di furto di cookie.
Rubando i cookie di sessione, gli hacker possono aggirare l'autenticazione a più fattori perché, con i cookie, il servizio considera già l'utente autenticato e concede semplicemente l'accesso immediatamente. Lo rende anche una risorsa di alto valore sul mercato nero, con Sophos che ha visto i cookie venduti su Genesis, dove i membri del gruppo di estorsioni di dollari Lapsus ne hanno acquistato uno, portando a un importante furto di dati dal gigante dei videogiochi.EA.
comprare i biscotti
Dopo aver acquistato un cookie di sessione Slack da Genesis, l'attore delle minacce è riuscito a falsificare l'accesso di un dipendente EA esistente e indurre il team IT dell'azienda a fornire l'accesso alla rete. Ciò ha permesso loro di rubare 780 GB di dati, incluso il codice sorgente del gioco e del motore grafico, che è stato successivamente utilizzato in un tentativo di estorsione.
Il problema più grande con i cookie è che durano relativamente a lungo, specialmente per applicazioni come Slack. Un cookie di lunga durata significa che gli hacker hanno più tempo per reagire e compromettere un dispositivo (si apre in una nuova scheda). I team IT possono programmare i browser e le applicazioni per ridurre il tempo consentito per la validità dei cookie, ma questo comporta un avvertimento: significa che gli utenti dovrebbero autenticarsi di nuovo più spesso, il che, a sua volta, significa che i team IT devono trovare il soluzione perfetta. equilibrio. tra sicurezza e comfort.
L'abuso dei cookie può anche essere prevenuto attraverso regole di comportamento, afferma Sophos, affermando che è possibile bloccare script e programmi non attendibili "con una serie di rilevamenti di memoria e comportamento".