- Artikel
Cookie-Diebstahl gefährdet zunehmend die Sicherheit von Unternehmensdaten
Was ist Cookie-Diebstahl und warum sind Cookies für Cyberkriminelle wertvoll?
Immer wieder nutzen Cyberkriminelle gestohlene Cookies zum umgehen von Multi-Faktor-Authentifizierungen und erhalten so Zugriff auf sensible Unternehmensdaten.
Dadurch können sich die Angreifer als gültige Benutzer ausgeben und sich im Netzwerk des Unternehmens bewegen.
Sobald ein Zugang mithilfe der Cookies auf die Unternehmens-Ressourcen erlangt wurde, kann dieser für weitere Angriffe genutzt werden. Beispielsweise zur Kompromittierung von E-Mails oder Social Engineering, um einen weitreichenden Zugriff auf Systeme zu erhalten oder um Änderungen an Daten oder Quellcode-Repositories vorzunehmen.
Der Diebstahl von Cookies wird dabei immer strategischer, da ein Angreifer viele Möglichkeiten hat um Cookies zu stehlen oder Benutzersitzungen zu kompromittieren.
Welche Methoden des Cookie-Diebstahls gibt es?
Eine Möglichkeit ist das Session Sniffing (Sitzungsschnüffeln), bei dem der Cyberkriminelle einen sogenannten Paket-Sniffer einsetzt, der dabei hilft den Netzwerkverkehr zu überwachen.
Sitzungs-Cookies sind Teil des Netzwerkverkehrs und können so über das "erschnüffeln" leicht gefunden und gestohlen werden. Schützen kann man sich davor, in dem SSL/TLS-Verschlüsselung, nicht nur auf den Anmeldeseiten angewendet wird, sondern sich auf die gesamte Webseite erstreckt.
Eine weitere Methode ist die Sitzungsfixierung. Hierbei stellt der Hacker fest das eine Ziel-URL keine Sicherheitsvalidierung hat und so jede Sitzungskennung akzeptiert. Daraufhin sendet er dem Benutzer eine sogenannte Phishing-Mail, die einen schädlichen Link mit einer zu fixierenden Session-ID enthält. Der Benutzer klickt auf den Link und meldet sich erfolgreich bei der Sitzung an, woraufhin der Angreifer diese übernehmen und auf das Konto zugreifen kann.
Bei der Methode des Cross-Site-Scripting (XSS) täuscht der Cyberkriminelle das Computersystem des Opfers mit bösartigem Code (Script), der sicher behandelt wird, da er scheinbar von einem vertrauenswürdigen Server stammt. Wird das Script ausgeführt, erhält der Angreifer Zugriff und kann die Cookies stehlen.
Bei so einer Attacke fehlen einem Server oder einer Webseite häufig wesentliche Sicherheitsparameter, so das clientseitige Skripte in die Webseite eingeschleust und ausgeführt werden können.
Cyberkriminelle können Cookies auch durch sogenannte Malware-Programme stehlen. Eine Malware kann in das System des Opfers eindringen, wenn er ungesicherte Webseites besucht oder auf schädliche Links klickt. Dazu führt die Malware ein Packet Sniffing durch, was es ihr leicht macht die Sitzungs-Cookies zu stehlen und an den Hacker zurück zu senden.
Wie lässt sich Cookie-Diebstahl verhindern?
Um Cookie-Diebstahl zu verhindern, wird Webseiten beispielsweise empfohlen, ein SSL-Zertifikat und Sicherheitsplugins zu installieren. Zwischen dem Webbrowser und Webserver findet ein kontinuierlicher Datenaustausch statt. Ein SSL-Zertifikat sendet diese Daten (Cookies) in einem verschlüsselten Format, sodass der Hacker sie nicht lesen kann. Ist ein SSL-Zertifikat bei einer Webseite nicht vorhanden, so werden die Daten im Klartext übermittelt und sind somit leicht auswertbar. Weiterhin sollten Webseiten stets aktuell gehalten werden.
Ein Sicherheitsplugin schützt Webseiten vor Hacking-Versuchen und warnt vor bösartigem Code, der auf die Webseite gelangt, durch regelmäßige Scans. So können Maßnahmen ergriffen werden, bevor es zu einem Schaden kommt.
Damit Internetnutzer nicht Opfer von Cookie-Diebstahl werden, ist es ratsam die Sitzung aller Webseiten zu schließen, wenn sie nicht mehr verwendet werden. Cookies regelmäßig aus dem Browserverlauf löschen, eine gute Antiviren- und Antimalwaresoftware verwenden und aktuell halten. Nicht auf verdächtige Links in E-Mails klicken und die Systeme auf dem aktuellsten Stand halten.
Schützen Sie Ihr Unternehmen vor Cyberkriminellen
Wir führen E-Mail Phishing Kampagnen durch und bieten für Ihre MitarbeiterInnen Awarenessschulungen an.
Kontaktieren Sie uns
stefan.otto@cyber24security.de
+49 39608 2690-02
