متسللون يستخدمون ملفات تعريف الارتباط لتجاوز المصادقة ذات العاملين
تعد "سرقة ملفات تعريف الارتباط" من بين أحدث الاتجاهات في الجرائم الإلكترونية التي يستخدمها المتسللون لتجاوز بيانات الاعتماد والوصول إلى قواعد البيانات الخاصة ، وفقًا لشركة Sophos.
كانت النصائح الأمنية النموذجية للمؤسسات هي نقل معلوماتها الأكثر حساسية إلى الخدمات السحابية أو استخدام المصادقة متعددة العوامل (MFA) كوسيلة أمان.
ومع ذلك اكتشف الفاعلون السيئون كيفية تمرير ملفات تعريف الارتباط المتصلة بتفاصيل تسجيل الدخول وتكرارها لاختراق جلسات الويب النشطة أو الحديثة للبرامج التي لا يتم تحديثها بشكل شائع.
يستطيع هؤلاء المتسللون استغلال العديد من الأدوات والخدمات المختلفة عبر الإنترنت، بما في ذلك المتصفحات والتطبيقات المستندة إلى الويب وخدمات الويب ورسائل البريد الإلكتروني المصابة بالبرامج الضارة وملفات ZIP.
يتمثل الجانب الأكثر غدرًا في هذا النمط من القرصنة في أن ملفات تعريف الارتباط تُستخدم على نطاق واسع لدرجة أنها يمكن أن تساعد المستخدمين السيئين على الوصول إلى الأنظمة حتى إذا كانت بروتوكولات الأمان موجودة وفقا لما نقله موقع Digitartlends.
أشار Sophos إلى أن Emotet botnet هو أحد البرامج الضارة لسرقة ملفات تعريف الارتباط التي تستهدف البيانات في متصفح جوجل كروم ، مثل تسجيلات الدخول المخزنة وبيانات بطاقة الدفع ، على الرغم من انجذاب المتصفح للتشفير والمصادقة متعددة العوامل.
على نطاق أوسع يمكن لمجرمي الإنترنت شراء بيانات ملفات تعريف الارتباط المسروقة ، مثل بيانات الاعتماد من الأسواق السرية.
انتهى الأمر بتفاصيل تسجيل الدخول لمطور ألعاب Electronic Arts في سوق يسمى Genesis ، والذي تم شراؤه من قبل مجموعة الابتزاز Lapsus $. تمكنت المجموعة من نسخ بيانات اعتماد تسجيل دخول موظف EA والوصول في النهاية إلى شبكات الشركة ، وسرقة 780 جيجابايت من البيانات. جمعت المجموعة تفاصيل شفرة مصدر محرك الرسومات واللعبة التي استخدموها لمحاولة ابتزاز EA.
وبالمثل اخترق Lapsus $ قواعد بيانات Nvidia في مارس. زعمت التقارير أن الخرق ربما كشف عن معلومات تسجيل الدخول لأكثر من 70 ألف موظف ، بالإضافة إلى 1 تيرابايت من البيانات من الشركة ، بما في ذلك الخطط وبرامج التشغيل وتفاصيل البرامج الثابتة. ومع ذلك لا توجد أي معلومات حول ما إذا كان الاختراق بسبب سرقة ملفات تعريف الارتباط.
قد يكون من السهل اختراق فرص سرقة ملفات تعريف الارتباط الأخرى إذا كانت منتجات برمجية كخدمة ، مثل Amazon Web Services (AWS) أو Azure أو Slack. يمكن أن تبدأ مع المتسللين الذين لديهم وصول أساسي ولكن يخدعون المستخدمين لتنزيل برامج ضارة أو مشاركة معلومات حساسة.
تميل مثل هذه الخدمات إلى أن تظل مفتوحة وتعمل باستمرار ،
مما يعني أن ملفات تعريف الارتباط الخاصة بها لا تنتهي في كثير من الأحيان بما يكفي لجعل بروتوكولاتها سليمة من الناحية الأمنية.
تلاحظ Sophos أنه يمكن للمستخدمين مسح ملفات تعريف الارتباط الخاصة بهم بانتظام للحفاظ على بروتوكول أفضل ؛ ومع ذلك هذا يعني الاضطرار إلى إعادة المصادقة في كل مرة.
كانت النصائح الأمنية النموذجية للمؤسسات هي نقل معلوماتها الأكثر حساسية إلى الخدمات السحابية أو استخدام المصادقة متعددة العوامل (MFA) كوسيلة أمان.
ومع ذلك اكتشف الفاعلون السيئون كيفية تمرير ملفات تعريف الارتباط المتصلة بتفاصيل تسجيل الدخول وتكرارها لاختراق جلسات الويب النشطة أو الحديثة للبرامج التي لا يتم تحديثها بشكل شائع.
يستطيع هؤلاء المتسللون استغلال العديد من الأدوات والخدمات المختلفة عبر الإنترنت، بما في ذلك المتصفحات والتطبيقات المستندة إلى الويب وخدمات الويب ورسائل البريد الإلكتروني المصابة بالبرامج الضارة وملفات ZIP.
يتمثل الجانب الأكثر غدرًا في هذا النمط من القرصنة في أن ملفات تعريف الارتباط تُستخدم على نطاق واسع لدرجة أنها يمكن أن تساعد المستخدمين السيئين على الوصول إلى الأنظمة حتى إذا كانت بروتوكولات الأمان موجودة وفقا لما نقله موقع Digitartlends.
أشار Sophos إلى أن Emotet botnet هو أحد البرامج الضارة لسرقة ملفات تعريف الارتباط التي تستهدف البيانات في متصفح جوجل كروم ، مثل تسجيلات الدخول المخزنة وبيانات بطاقة الدفع ، على الرغم من انجذاب المتصفح للتشفير والمصادقة متعددة العوامل.
على نطاق أوسع يمكن لمجرمي الإنترنت شراء بيانات ملفات تعريف الارتباط المسروقة ، مثل بيانات الاعتماد من الأسواق السرية.
انتهى الأمر بتفاصيل تسجيل الدخول لمطور ألعاب Electronic Arts في سوق يسمى Genesis ، والذي تم شراؤه من قبل مجموعة الابتزاز Lapsus $. تمكنت المجموعة من نسخ بيانات اعتماد تسجيل دخول موظف EA والوصول في النهاية إلى شبكات الشركة ، وسرقة 780 جيجابايت من البيانات. جمعت المجموعة تفاصيل شفرة مصدر محرك الرسومات واللعبة التي استخدموها لمحاولة ابتزاز EA.
وبالمثل اخترق Lapsus $ قواعد بيانات Nvidia في مارس. زعمت التقارير أن الخرق ربما كشف عن معلومات تسجيل الدخول لأكثر من 70 ألف موظف ، بالإضافة إلى 1 تيرابايت من البيانات من الشركة ، بما في ذلك الخطط وبرامج التشغيل وتفاصيل البرامج الثابتة. ومع ذلك لا توجد أي معلومات حول ما إذا كان الاختراق بسبب سرقة ملفات تعريف الارتباط.
قد يكون من السهل اختراق فرص سرقة ملفات تعريف الارتباط الأخرى إذا كانت منتجات برمجية كخدمة ، مثل Amazon Web Services (AWS) أو Azure أو Slack. يمكن أن تبدأ مع المتسللين الذين لديهم وصول أساسي ولكن يخدعون المستخدمين لتنزيل برامج ضارة أو مشاركة معلومات حساسة.
تميل مثل هذه الخدمات إلى أن تظل مفتوحة وتعمل باستمرار ،
مما يعني أن ملفات تعريف الارتباط الخاصة بها لا تنتهي في كثير من الأحيان بما يكفي لجعل بروتوكولاتها سليمة من الناحية الأمنية.
تلاحظ Sophos أنه يمكن للمستخدمين مسح ملفات تعريف الارتباط الخاصة بهم بانتظام للحفاظ على بروتوكول أفضل ؛ ومع ذلك هذا يعني الاضطرار إلى إعادة المصادقة في كل مرة.
