Så används stulna cookies för att komma runt MFA
Stulna så kallade sessionscookies används alltmer av cyberkriminella för att kringgå multifaktorautentisering (MFA) och på så sätt få tillgång till företags nätverk. Det visar en ny rapport från Sophos.
– Under det senaste året har vi sett att angripare i allt större utsträckning stjäl kakor för att komma runt det växande användandet av MFA. Cyberkriminella tar hjälp av nya och förbättrade versioner av skadlig programvara för att komma åt information. Raccoon Stealer är ett exempel på program som används för att få autentiseringskakor, även kända som åtkomsttokens. Med den typen av kakor rör sig angriparen fritt i ett nätverk och kan utge sig för att vara en legitim användare, säger Per Söderqvist, säkerhetsexpert på Sophos.
I rapporten beskriver Sophos hur cyberkriminella genom riktade attacker stjäl data från angripna system inom ett nätverk. Sedan nyttjar de legitima körbara filer för att dölja den skadliga aktiviteten.
När angriparna genom cookies fått tillgång till företagets webb- och molnbaserade miljöer används de för ytterligare exploatering. Det här kan innefatta bland annat övertagande av mejlkonton och social engineering för att få utökad systemåtkomst och kunna ändra data eller källkod.
Så går cookieangreppen till
Sessions- eller autentiseringskakor är cookies som lagras av en webbläsare när användaren loggar in på webben. Får en hackare tillgång till dessa kan personen genomföra en “pass-the-cookie”-attack där man injicerar autentiseringskakor i en ny webbsession vilket får webbläsaren att tro att det är den autentiserade användaren.
Om autentiseringscookies skapas och lagras i en webbläsare där man använder MFA kan de nyttjas för att komma runt det extra lagret av autentisering. Än värre blir problemet på grund av att många webbaserade applikationer har långvariga cookies som sällan eller aldrig upphör att gälla.
Läs mer om ämnet:
