En ny rapport visar att det är allt vanligare att stulna så kallade sessionskakor används av cyberkriminella för att kringgå multifaktorautentisering (MFA) och få tillgång till företags nätverk.
Rapporten som tagits fram av IT-säkerhetsföretaget Sophos beskriver hur angripare genom riktade attacker stjäl data från angripna system inom ett nätverk och sedan använder legitima körbara filer för att dölja den skadliga aktiviteten.
När angriparna med hjälp av kakor väl fått tillgång till företagets webb- och molnbaserade miljöer, används de för ytterligare exploatering. Det kan inbegripa övertagande av e-postkonton, social ingenjörskonst för att få ytterligare systemåtkomst och kunna ändra data eller källkod.
– Under det senaste året har vi sett att angripare i allt större utsträckning stjäl kakor för att komma runt det växande användandet av MFA. Cyberkriminella tar hjälp av nya och förbättrade versioner av skadlig programvara för att komma åt information. Raccoon Stealer är ett exempel på program som används för att få autentiseringskakor, även kända som åtkomsttokens. Med den typen av kakor rör sig angriparen fritt i ett nätverk och kan utge sig för att vara en legitim användare, säger Per Söderqvist, säkerhetsexpert på Sophos.
Så används kakor vid angrepp
Sessions- eller autentiseringskakor är en speciell typ av kakor som lagras av en webbläsare när en användare loggar in på webben. Om en angripare får tillgång till dessa kan de utföra en “pass-the-cookie”-attack där de injicerar autentiseringskakor (åtkomsttokens) i en ny webbsession vilket lurar webbläsaren att tro att det är den autentiserade användaren. Om autentiseringskakor skapas och lagras i en webbläsare när man tillämpat MFA, kan de användas för att kringgå det extra lagret av autentisering. Problemet förvärras av att många legitima webbaserade applikationer har långvariga kakor som sällan eller aldrig upphör att gälla. I stället förfaller de endast om användaren aktivt loggar ut från tjänsten.
Läs mer om rapporten här»
