Especialista da Apura S/A aponta prática comum que poder deixar sistemas vulneráveis e conta como criminosos cibernéticos utilizam cookies como porta de entrada para ataques
“Aceita todos os cookies desta página?” Essa é uma mensagem bem comum que todos recebemos diariamente ao acessar sites, seja pelo celular ou pelo computador, e que normalmente “aceitamos” sem ao menos entender o que são cookies.
Não estamos falando dos deliciosos biscoitos americanos com pingos de chocolate. Os cookies são pequenos arquivos criados pelo navegador e armazenados no dispositivo do usuário enquanto ele navega por uma página da web. São usados para guardar informações sobre as preferências do usuário, histórico de navegação, dados de login e outras informações relevantes para melhorar a navegação em um website.
Os cookies são importantes para os servidores web porque permitem aos sites personalizarem a experiência do usuário, lembrando informações como as preferências de idioma, itens do carrinho de compras, configurações de conta e até mesmo fornecendo anúncios direcionados com base no comportamento de navegação do usuário.
Há vários tipos de cookies: cookies de sessão são temporários, desaparecem quando você fecha o navegador e guardam informações momentâneas, como o conteúdo de um carrinho de compras; os cookies persistentes ficam no dispositivo por mais tempo, mantendo informações a longo prazo, como as preferências do usuário; os cookies de terceiros são criados por sites diferentes do que está sendo acessado e são geralmente usados para publicidade e análise.
Infelizmente, os cookies também podem ser usados por criminosos cibernéticos para realizar ataques. Cookies são um dos alvos preferenciais dos malwares do tipo “stealer”, especializados no roubo de arquivos e informações dos dispositivos das vítimas, que posteriormente são enviados para um servidor sob o controle dos criminosos. Dentre os “stealers” mais ativos atualmente destacam-se o Raccoon, o RedLine Stealer e o Mars Stealer.
Em posse de um cookie de sessão, o criminoso consegue, com a ajuda de ferramentas especializadas, restabelecer a sessão em um website da mesma forma em que ela foi aberta no computador da vítima. Isto quer dizer, por exemplo, que se o cookie tiver sido roubado enquanto o usuário acessava uma conta de e-mail, o criminoso consegue retomar exatamente deste ponto e acessar os e-mails da vítima. Isso torna desnecessário que o ator malicioso saiba a senha da conta, e mesmo métodos auxiliares de proteção podem ser momentaneamente contornados, uma vez que a autenticação não será solicitada de imediato.
“Um cookie de sessão é gerado quando o usuário realiza login em um serviço online, fornecendo sua senha e, se for o caso, a e autenticação de múltiplo fator (MFA). Esse cookie permite que o usuário seja autenticado automaticamente nas próximas vezes que acessar o mesmo serviço, sem a necessidade de inserir novamente as credenciais de login”, explica Anchises Moraes, expert em cibersegurança e Threat Líder na Apura Cyber Security.
“Felizmente, os cookies de sessão possuem um tempo de expiração limitado, dificultando o acesso aos sistemas das vítimas por longo tempo. No entanto, é importante estar atento a boas práticas de segurança, como evitar clicar em links suspeitos, manter o sistema operacional e o navegador atualizados e utilizar soluções de segurança confiáveis para proteger contra ataques cibernéticos”, reforça o especialista.
Ataques via cookies apenas no último ano
Além dos cookies de sessão, outros alvos dos malware “stealers” são os dados de cartões de crédito e as informações digitadas em formulários web em geral. Muitos usuários habilitam o salvamento automático dessas informações em seus navegadores, aproveitando o recurso de autopreenchimento a fim de facilitar acessos futuros, mas isso acaba facilitando também a obtenção desses dados pelos criminosos.
Recentemente, foi realizada a operação Cookie Monster pela polícia federal americana, o FBI, em parceria com forças policiais de vários países. Dela resultou o fechamento do site criminoso Gênesis, conhecido por vender credenciais de acessos e outros produtos ilícitos na dark web. Estima-se que o fórum possuía cerca de 80 milhões de credenciais e outras informações roubadas de mais de 2 milhões de pessoas.
Outro site utilizado por ciber criminosos para a venda de informações roubadas, entre elas os cookies, é o Russian Market. Nesse site, também é possível encontrar informações de cartões de crédito, credenciais para acesso RDP e ferramentas maliciosas. Pagando a partir de 50 dólares, os usuários têm acesso ao conteúdo do fórum.
“Estes sites também permitem a busca por informações específicas. É possível, por exemplo, realizar buscas pelo e-mail de uma empresa ou seu nome de domínio, o que é muito desejado por hackers que pretendem realizar ataques direcionados a funcionários ou clientes de uma empresa em particular”, explica Moraes.
O roubo de cookies não só coloca em risco a segurança e privacidade dos usuários, mas também pode resultar em prejuízos financeiros e até mesmo comprometer a reputação das vítimas. Portanto, é essencial que os usuários estejam sempre atentos à proteção de seus dados e que evitem salvar informações sensíveis em navegadores.
Além disso, é importante que mantenham as melhores práticas de segurança, evitando abrir e-mails de origem desconhecida; clicar em links suspeitos; manter o sistema operacional, navegadores e antivírus sempre atualizados; ter cuidado com golpes de engenharia social, no qual os criminosos tentam ludibriar os usuários a baixar aplicações de origem indeterminada ou realizar ações duvidosas; entre outras.