Visste du at en hacker kan foreta bankoverføringer eller nettkjøp på dine vegne uten å stjele registreringsinformasjonen din?
Vi forbinder informasjonskapsler med sporing og irriterende nettannonser, men de lagrer også søk, slik at vi kan besøke nettsider uten å oppgi brukernavn og passord.
Men hvis noen avskjærer informasjonskapselen, kan dette føre til et katastrofalt nettangrep kalt session hijacking, som kan sette dine sensitive data i fare i hendene på angripere, og det kan gjøre mye skade før du i det hele tatt vet hva som skjedde.
La oss finne ut hva det er og hvordan du kan forhindre det!
Innholdsfortegnelse
Hva er Session Hijacking?
Ved øktkapring avskjærer og overtar en angriper en etablert sesjon mellom en bruker og en vert, for eksempel en webserver, Telnet-økt eller en annen TCP-basert tilkobling. En økt starter når du logger på et nettsted eller en applikasjon, for eksempel et nettsted for sosiale nettverk.
Den fortsetter mens du er inne på kontoen, sjekker profilen din eller deltar i en tråd, og slutter når du logger ut av systemet. Men hvordan vet webserveren at hver forespørsel du gjør faktisk er fra deg?
Det er her informasjonskapsler kommer inn. Etter pålogging sender du inn legitimasjonen din til webserveren. Den bekrefter hvem du er og gir deg en økt-ID ved hjelp av en informasjonskapsel som vil bli festet til deg i løpet av økten. Det er derfor du ikke logger ut av en applikasjon hver gang du besøker noens profil og hvorfor nettbutikken husker hva du legger i handlekurven selv om du oppdaterer siden.
Men angripere kan kapre økten hvis de bruker spesielle sesjonshåndteringsteknikker eller stjeler informasjonskapselen din. Dermed kan den lure webserveren til å tro at forespørslene kommer fra deg, den autoriserte brukeren.
Fenomenet øktkapring ble kjent på begynnelsen av 2000-tallet, men det er fortsatt en av de vanligste metodene som brukes av hackere.
Et nylig eksempel er Lapsus$ Group, som ble en del av FBIs Most Wanted-liste i år. Den bruker InfoStealer Maleware-infeksjon for å kapre økten.
Tilsvarende er GenesisStore en invitasjonsbutikk som drives av en gruppe med samme navn som selger kompromitterte informasjonskapsler, og oppføringen overstiger 400 000+ bots.
Sesjonsfangsttyper
Sesjonskapring kan deles inn i to hovedkategorier, avhengig av gjerningsmannens ønsker.
Aktiv: I et aktivt angrep overtar angriperen økten din, og tar dermed den legitime klientens tilkobling til ressursen. Avhengig av sesjonens nettsted, kan hackeren foreta kjøp på nettet, endre passord eller gjenopprette kontoer. Et vanlig eksempel på et aktivt angrep er et brute force-angrep, XSS eller til og med DDoS.
Kilde: OSWAP
Passiv: I et passivt angrep vil ikke angriperen overta eller endre økten. I stedet overvåker de stille datatrafikken mellom enheten din og serveren, og samler inn all sensitiv informasjon. Vanligvis brukes IP-spoofing og malware-injeksjon for å utføre passive injeksjonsangrep.
Kilde: OSWAP
Hvordan fungerer øktkapring?
HTTP er en statsløs protokoll, noe som betyr at serveren ikke har noe minne om klientens operasjoner. Hver ny HTTP-forespørsel faller sammen med en ny arbeidsenhet, eller for å si det enklere, serveren serverer sider til klienten uten å huske klientens tidligere forespørsler.
Når vi surfer på nettet, innser vi imidlertid at applikasjoner ideelt sett vet hvem klienten er (til og med for godt!). Takket være dette «minnet» til serveren, «er det mulig å lage moderne reserverte områder av nettsteder, nettbanker, nettposttjenester, etc.
For å gjøre dette ble et vedlegg født som lager en statsløs protokoll som HTTP stateful: informasjonskapsler.
Stateful Sessions
Når du er logget på, slipper nettapplikasjoner som bruker stateful økten en øktinformasjonskapsel. Det betyr at de er avhengige av denne informasjonskapselen for å spore klienten. Inne i informasjonskapselen lagres en unik kode som tillater gjenkjennelse av klienten, for eksempel:
SESSIONID=ACF3D35F216AAEFC
Alle med den ovenfor nevnte unike sesjons-IDen eller koden vil være den autentiserte klienten for serveren. Hvis en angriper kunne få denne identifikatoren, som vist på bildet nedenfor, kan de utnytte økten som opprinnelig ble validert for offeret, enten ved å snuse en legitim sesjon eller til og med overta økten fullstendig. Denne identifikatoren er vanligvis innebygd i URL-en, i et hvilket som helst skjemas skjulte felt, eller i informasjonskapsler.
OSWAP
Statsløse økter
Med utviklingen av nettet har det oppstått løsninger for å administrere «minnet» til serveren uten bruk av øktinformasjonskapsler. I en nettapplikasjon der frontend og backend er godt atskilt og kun snakker via API, kan den beste løsningen være et JWT (JSON Web Token), et signert token som lar grensesnittet konsumere APIene levert av backend.
Vanligvis lagres JWT i nettleserens sessionStorage, et minneområde som klienten holder aktivt til fanen lukkes. Åpning av en ny fane skaper derfor en ny økt (i motsetning til hva som skjer med informasjonskapsler).
Å stjele klientens identifikasjonstoken lar deg stjele brukerens økt og dermed utføre et øktkapringsangrep. Men hvordan stjele det tokenet?
For tiden er metodene mest brukt av hackere:
#1. Session Side Jekking
Denne metoden bruker usikre nettverk for å finne ut økt-ID-en din. Angriperen bruker sniffing (spesiell programvare) og retter seg vanligvis mot offentlig Wi-Fi eller nettsteder uten SSL-sertifikat, som er kjent for dårlig sikkerhet.
#2. Sesjonsfiksering
Offeret bruker økt-IDen opprettet av angriperen. Det kan gjøre dette med et phishing-angrep (via en ondsinnet lenke) som «fikser» økt-ID-en din.
#3. Ren styrke
Den mest tidkrevende og ineffektive metoden. Under dette angrepet stjeler ikke hackeren informasjonskapslene dine. I stedet prøver den alle mulige kombinasjoner for å gjette økt-ID-en din.
#4. XSS eller Cross-site Scripting
En hacker utnytter sårbarheter i nettsteder eller applikasjoner for å injisere skadelig kode. Når en bruker besøker nettstedet, aktiveres skriptet, stjeler brukerens informasjonskapsler og sender dem til angriperen.
#5. Injeksjon av skadelig programvare
Skadelig programvare kan utføre uautoriserte handlinger på enheten din for å stjele personlig informasjon. Det brukes også ofte til å avskjære informasjonskapsler og sende informasjon til en angriper.
#6. IP-spoofing
En nettkriminell endrer kilde-IP-adressen til pakken deres for å få den til å se ut til å komme fra deg. På grunn av den falske IP-en, tror webserveren at det er deg, og økten blir kapret.
Hvordan forhindre øktkapring?
Muligheten for øktkapring kommer vanligvis ned til sikkerheten til nettsidene eller applikasjonene du bruker. Det er imidlertid skritt du kan ta for å beskytte deg selv:
- Unngå offentlig Wi-Fi, siden gratis hotspots er ideelle for nettkriminelle. De har vanligvis dårlig sikkerhet og kan lett forfalskes av hackere. For ikke å nevne at de alltid er fulle av potensielle ofre hvis datatrafikk stadig kompromitteres.
- Ethvert nettsted som ikke bruker et SSL-sertifikat gjør deg sårbar, siden den ikke kan kryptere trafikk. Sjekk om siden er sikker ved å se etter en liten hengelås ved siden av URL-en.
- Installer et anti-malware-program for å oppdage og beskytte enheten din mot skadelig programvare og rotter som kan stjele personlig informasjon.
- Unngå å laste ned skadelig programvare ved å bruke offisielle appbutikker eller nettsteder for å laste ned apper.
- Hvis du mottar en melding som ber deg klikke på en ukjent lenke, ikke gjør det. Dette kan være et phishing-angrep som kan infisere enheten din og stjele personlig informasjon.
Brukeren kan gjøre lite mot et Session Hijacking-angrep. Tvert imot kan imidlertid applikasjonen legge merke til at en annen enhet har koblet til den samme sesjonsidentifikatoren. Og stole på det, kan du utforme avbøtende strategier som:
- Knytt til hver økt noen tekniske fingeravtrykk eller egenskaper ved den tilkoblede enheten for å oppdage endringer i de registrerte parameterne. Denne informasjonen må lagres i informasjonskapselen (for stateful sessions) eller JWT (for stateless sessions), absolutt kryptert.
- Hvis økten er informasjonskapselbasert, slipp informasjonskapselen med HTTPOnly-attributtet for å gjøre den utilgjengelig i tilfelle et XSS-angrep.
- Konfigurer et Intrusion Detection System (IDS), Intrusion Prevention System (IPS) eller nettverksovervåkingsløsning.
- Noen tjenester utfører sekundære kontroller av brukerens identitet. For eksempel kan en webserver sjekke med hver forespørsel at brukerens IP-adresse samsvarer med den sist brukte under den økten. Dette forhindrer imidlertid ikke angrep fra noen som deler samme IP-adresse og kan være frustrerende for brukere hvis IP-adresse kan endres under en nettlesingsøkt.
- Alternativt vil noen tjenester endre informasjonskapselverdien med hver eneste forespørsel. Dette reduserer drastisk vinduet der en angriper kan operere og gjør det lettere å identifisere om et angrep har skjedd, men kan forårsake andre tekniske problemer.
- Bruk forskjellige multifaktorautentiseringsløsninger (MFA) for hver brukerøkt.
- Hold alle systemer oppdatert med de nyeste oppdateringene og sikkerhetsoppdateringene.
FAQ
Hvordan er øktkapring forskjellig fra øktspoofing?
Øktkapring innebærer å utgi seg for å være brukeren, mens spoofing innebærer å erstatte brukeren. I løpet av de siste årene har noen sikkerhetsanalytikere begynt å karakterisere sistnevnte som en type øktkapring.
Siste ord
Hyppigheten av øktkapringangrep har økt de siste årene; derfor har det blitt stadig viktigere å forstå slike angrep og følge forebyggende tiltak. Men akkurat som teknologien utvikler seg, blir angrepene også mer sofistikerte; derfor er det viktig å lage aktive avbøtende strategier mot øktkapring.
Du kan også være interessert i å vite hvor mye dataene dine er verdt på det mørke nettet.