Hacker verwenden Cookies, um die Zwei-Faktor-Authentifizierung zu umgehen
21. August 2022Hacker verwenden Cookies, um die Zwei-Faktor-Authentifizierung zu umgehen
San Francisco, 21.8.2022
„Cookie-Diebstahl“ gehört zu den neuesten Trends in der Cyberkriminalität, die Hacker nutzen, um Anmeldedaten zu umgehen und auf private Datenbanken zuzugreifen, so Sophos.
Wenn Unternehmen ihre sensibelsten Daten schützen wollen, stehen zwei Empfehlungen häufig an der Spitze: Entweder Daten in Cloud – Dienste verlagern oder Multifaktor-Authentifizierung (MFA) einsetzen. Hacker haben jedoch herausgefunden, wie sie Cookies, die mit Anmeldedaten verbunden sind, ausspionieren und vervielfältigen können, um die aktiven oder letzten Websitzungen von Programmen zu hacken, die nicht häufig aktualisiert werden.
Diese Hacker sind in der Lage, mehrere verschiedene Online-Tools und -Dienste auszunutzen, darunter Browser, webbasierte Anwendungen, Webdienste, mit Malware infizierte E-Mails und ZIP-Dateien.
Der heimtückischste Aspekt dieser Art von Hacking ist, dass Cookies so weit verbreitet sind, dass sie böswilligen Benutzern den Zugriff auf Systeme ermöglichen, selbst wenn Sicherheitsprotokolle vorhanden sind. Sophos hat festgestellt, dass das Emotet-Botnet eine solche Cookie-klauende Malware ist, die es auf Daten im Google Chrome – Browser abgesehen hat, wie z. B. gespeicherte Logins und Zahlungskartendaten, obwohl der Browser Verschlüsselung und Multifaktor-Authentifizierung unterstützt.
Auf breiterer Ebene können Cyberkriminelle gestohlene Cookie-Daten, wie z. B. Anmeldedaten, auf Untergrundmarktplätzen kaufen, Die Anmeldedaten für einen Spieleentwickler von Electronic Arts landeten auf einem Marktplatz namens Genesis, der Berichten zufolge von der Erpressergruppe Lapsus$ gekauft wurde. Die Gruppe war in der Lage, die Anmeldedaten von EA-Mitarbeitern zu replizieren und sich schließlich Zugang zu den Netzwerken des Unternehmens zu verschaffen, wobei sie ein Volumen von 780 Gigabyte Daten entwendeten. Die Gruppe sammelte Details zum Quellcode von Spielen und der Grafik- Engine, mit denen sie versuchte, EA zu erpressen.
Auf ähnliche Weise hackte Lapsus$ im März die Datenbanken von Nvidia. Berichten zufolge könnte der Einbruch die Anmeldeinformationen von mehr als 70.000 Mitarbeitern offengelegt haben, zusätzlich zu 1 TB an Daten des Unternehmens, darunter Schaltpläne, Treiber und Firmware-Details. Es gibt jedoch keine Informationen darüber, ob der Hack auf den Diebstahl von Cookies zurückzuführen ist.
Andere Möglichkeiten des Cookie-Diebstahls könnten leicht zu knacken sein, wenn es sich um Software – as – Servis – Produkte handelt, wie Amazon Web Services (AWS), Azure oder Slack. Diese können damit beginnen, dass Hacker einen einfachen Zugang haben, aber Benutzer dazu verleiten, Malware herunterzuladen oder sensible Informationen weiterzugeben. Solche Dienste bleiben in der Regel geöffnet und werden dauerhaft ausgeführt, was bedeutet, dass ihre Cookies nicht oft genug ablaufen, damit ihre Protokolle sicherheitsrelevant sind.
Sophos weist darauf hin, dass Benutzer ihre Cookies regelmäßig löschen können, um ein besseres Protokoll aufrechtzuerhalten; dies bedeutet jedoch, dass sie sich jedes Mal neu authentifizieren müssen.