黑客盯上的不是密码,而是Cookie

2024-01-25 21:04

本文主要是介绍黑客盯上的不是密码,而是Cookie,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

无论用户设置了多长的密码,如果恶意软件感染设备并发现了一些Cookie,账户都会存在被窃风险。

据 Cyber​​news 在1月初的报道,黑客正在利用授权协议 OAuth2 的新漏洞劫持 Google 帐户,并在 IP 或密码重置的情况下通过重新生成 Cookie来保持持久性。

前 FBI 数字犯罪专家、现任 SpyCloud 实验室副总裁特雷弗·希利戈斯(Trevor Hilligoss)在接受 Cyber​​news 采访时警告称,所有 Cookie 都容易受到攻击,是危害谷歌或其他帐户的唯一手段,最近发现的 OAuth 漏洞证明了这一点。

SpyCloud 实验室副总裁特雷弗·希利戈斯(Trevor Hilligoss)

希利戈斯指出,Cookie 盗窃并不是绕过身份验证的新策略,有效的 Cookie 可以导入犯罪分子的系统,从而欺骗受害者的设备。

这种方法的兴起是由于许多用户现在使用多重身份验证,盗窃密码变得困难,但同时很少有人真正了解 Cookie 盗窃的严重性以及预防的难度。

希利戈斯以谷歌账户举例,认为它是对犯罪分子最具吸引力的帐户之一,因为其中包含了大量重要的个人、税务和其他信息,还可以用于重置其他服务的密码。

“如果我进入你的 Gmail 帐户,我敢打赌我可以使用你的 Google 帐户重置你的 Facebook 密码。我在半夜这样做。直到早上你才会意识到这一点,”Hilligoss 向 Cyber​​news 解释道,“犯罪分子每天都在这样做。”

为什么Cookie 如此重要?

几年前,当多重身份验证 (MFA) 尚未普及时,大多数人仍然仅使用用户名和密码进入帐户。如今,MFA 随处可见,因为它是阻止简单撞库攻击的有效方法,而与此同时,黑客也适应了这一趋势,开始瞄准Cookie 。

去年,当攻击者利用谷歌的Cookie 撤销策略发现了其中的零日漏洞时,该漏洞很快就被集成到多个信息窃取程序中。

一般而言,身份验证Cookie会确定用户与服务会话的到期时间,时长可从几分钟到几个月,到期后需要重新进行身份验证。攻击者可以访问 cookie 和设备信息,不再需要知道密码和安全密码或有权访问帐户恢复选项。

攻击者很容易窃Cookie吗?

希利戈斯认为,恶意软件在这方面已经变得非常擅长。目前,大多数浏览器将Cookie 存储在本地数据库中,当用户访问银行网站,输入用户名和密码并单击登录后。服务器将为用户浏览器提供一个唯一的 Cookie,浏览器会将该Cookie 保存到用户设备上的本地数据库中,因此当用户下次访问该网站时,会自动将该 Cookie 与为该网站保存的任何其他服务的Cookie 一起提供。

而恶意软件就像浏览器一样,会访问同一个数据库,检查是否有银行或其他服务的Cookie。然后将这些Cookie导出到用户设备本地的一个文件中,与其他系统和用户信息捆绑在一起发送给攻击者。目前有很多开源和免费软件可以帮助攻击者导入 Cookie,将他们的系统设置成与用户相似,从而欺骗性地让浏览器认为运行的是用户的系统,如此一来,攻击者就可以访问用户 Gmail 或其他账户。

"说到底,每个 Cookie 本身都是脆弱的,但问题在于攻击设备的恶意软件,而不是Cookie 本身,”希利戈斯说道。

犯罪分子花几百美元租用强大的恶意软件

希利戈斯所属的 SpyCloud 实验室正专门从事暗网研究和违规数据分析,他们发现了一个强大的信息窃取程序 LummaC2,其中利用了OAuth2的最新漏洞。该程序提供按月定价方案,其中最便宜的 "Experienced "计划为 250 美元/月,"Professional "计划为 500 美元/月,而 "Corporate "计划的价格为1000 美元/月。

LummaC2在暗网发布的贴子

希利戈斯将这类恶意软件即服务模式比作 "五岁小孩拿手榴弹",其中不断更新的技术让没有编码经验的人都能够操纵它实施攻击。他还注意到去年信息窃取程序的新进展比以往任何一年都多,推出了可以窃取远程桌面设备配置文件的模块。

如何保护自己免受此类攻击?

“最重要的是确保你一开始就不会被感染,”在访谈中,希利戈斯给出了如下建议:

  • 进行良好的端点监控、安装防病毒软件并保持更新;
  • 不要轻易点击广告,很多恶意软件都是通过广告传播;
  • 企业组织应制定良好的补救政策,并练习快速检测和撤销受损的Cookie以控制损害;
  • 撤销对不再使用的设备的访问权限;
  • 建议不要勾选“记住账号密码”选项,以使Cookie 过期时间最短。

参考来源:

Cybercriminals crave cookies, not passwords

这篇关于黑客盯上的不是密码,而是Cookie的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/644601

相关文章

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

Oracle登录时忘记用户名或密码该如何解决

《Oracle登录时忘记用户名或密码该如何解决》:本文主要介绍如何在Oracle12c中忘记用户名和密码时找回或重置用户账户信息,文中通过代码介绍的非常详细,对同样遇到这个问题的同学具有一定的参... 目录一、忘记账户:二、忘记密码:三、详细情况情况 1:1.1. 登录到数据库1.2. 查看当前用户信息1.

SpringBoot使用Jasypt对YML文件配置内容加密的方法(数据库密码加密)

《SpringBoot使用Jasypt对YML文件配置内容加密的方法(数据库密码加密)》本文介绍了如何在SpringBoot项目中使用Jasypt对application.yml文件中的敏感信息(如数... 目录SpringBoot使用Jasypt对YML文件配置内容进行加密(例:数据库密码加密)前言一、J

MySQL9.0默认路径安装下重置root密码

《MySQL9.0默认路径安装下重置root密码》本文主要介绍了MySQL9.0默认路径安装下重置root密码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们... 目录问题描述环境描述解决方法正常模式下修改密码报错原因问题描述mysqlChina编程采用默认安装路径,

MySQL修改密码的四种实现方式

《MySQL修改密码的四种实现方式》文章主要介绍了如何使用命令行工具修改MySQL密码,包括使用`setpassword`命令和`mysqladmin`命令,此外,还详细描述了忘记密码时的处理方法,包... 目录mysql修改密码四种方式一、set password命令二、使用mysqladmin三、修改u

Python实现文件下载、Cookie以及重定向的方法代码

《Python实现文件下载、Cookie以及重定向的方法代码》本文主要介绍了如何使用Python的requests模块进行网络请求操作,涵盖了从文件下载、Cookie处理到重定向与历史请求等多个方面,... 目录前言一、下载网络文件(一)基本步骤(二)分段下载大文件(三)常见问题二、requests模块处理

电脑密码怎么设置? 一文读懂电脑密码的详细指南

《电脑密码怎么设置?一文读懂电脑密码的详细指南》为了保护个人隐私和数据安全,设置电脑密码显得尤为重要,那么,如何在电脑上设置密码呢?详细请看下文介绍... 设置电脑密码是保护个人隐私、数据安全以及系统安全的重要措施,下面以Windows 11系统为例,跟大家分享一下设置电脑密码的具体办php法。Windo

数据库oracle用户密码过期查询及解决方案

《数据库oracle用户密码过期查询及解决方案》:本文主要介绍如何处理ORACLE数据库用户密码过期和修改密码期限的问题,包括创建用户、赋予权限、修改密码、解锁用户和设置密码期限,文中通过代码介绍... 目录前言一、创建用户、赋予权限、修改密码、解锁用户和设置期限二、查询用户密码期限和过期后的修改1.查询用

Java后端接口中提取请求头中的Cookie和Token的方法

《Java后端接口中提取请求头中的Cookie和Token的方法》在现代Web开发中,HTTP请求头(Header)是客户端与服务器之间传递信息的重要方式之一,本文将详细介绍如何在Java后端(以Sp... 目录引言1. 背景1.1 什么是 HTTP 请求头?1.2 为什么需要提取请求头?2. 使用 Spr

VMWare报错“指定的文件不是虚拟磁盘“或“The file specified is not a virtual disk”问题

《VMWare报错“指定的文件不是虚拟磁盘“或“Thefilespecifiedisnotavirtualdisk”问题》文章描述了如何修复VMware虚拟机中出现的“指定的文件不是虚拟... 目录VMWare报错“指定的文件不是虚拟磁盘“或“The file specified is not a virt