Levando a melhor: o motivo de hackers serem tão fãs de cookies

Vamos explicar como invasores cibernéticos interceptam cookies, qual a função do ID de sessão e como impedir que seus cookies comecem a agir contra você.

Se você abrir qualquer site, é provável que a primeira coisa que veja seja uma notificação pop-up sobre o uso de cookies. Geralmente, você pode aceitar todos os cookies, apenas os essenciais ou rejeitá-los totalmente. Independentemente da sua escolha, você provavelmente não notará diferença, e o aviso desaparece da tela de qualquer forma.

Hoje, vamos mergulhar mais fundo no pote de cookies: descobriremos para que eles servem, quais tipos existem, como os invasores podem interceptá-los, quais são os riscos e como se proteger.

O que são cookies?

Quando você acessa um site, ele envia um cookie para o seu navegador. Trata-se de um pequeno arquivo de texto que guarda informações sobre você, seu sistema e suas ações no site. O navegador armazena esses dados no seu dispositivo e os envia de volta ao servidor sempre que você retorna a esse site. Isso simplifica a interação com o site, pois você não precisa fazer login em todas as páginas. Os sites lembram suas configurações de exibição, as lojas on-line guardam os produtos no carrinho, os serviços de streaming sabem qual é o último episódio que você assistiu. Os benefícios são ilimitados.

Os cookies podem armazenar suas informações de login, senha, tokens de segurança, número de telefone, endereço residencial, dados bancários e o ID de sessão. Vamos examinar mais de perto o identificador de sessão.

Um ID de sessão é um código único atribuído a cada usuário ao entrar em um site. Se alguém interceptar esse código, o servidor Web verá essa pessoa como um usuário legítimo. Imagine que você possa entrar no escritório usando um passe eletrônico com um código único. Se o seu passe for roubado, o ladrão, mesmo que não se pareça com você, poderá abrir qualquer porta à qual você tenha acesso. Enquanto isso, o sistema de segurança continuará acreditando que é você quem está entrando. Parece cena de série policial, não é mesmo? O mesmo acontece online: se um hacker roubar um cookie com seu ID de sessão, ele poderá entrar em um site já acessado por você, usando seu nome, sem precisar de login e senha; às vezes, conseguem até burlar a autenticação de dois fatores. Em 2023, hackers roubaram os três canais do YouTube do famoso blogueiro de tecnologia Linus Sebastian: o “Linus Tech Tips” e outros dois canais do Linus Media Group com dezenas de milhões de inscritos. E foi exatamente assim que aconteceu. Já abordamos este caso detalhadamente.

Que tipos de cookies existem?

Vamos organizar os diferentes tipos de cookies. Eles podem ser classificados de acordo com várias características.

Por tempo de armazenamento

  • Cookies temporários ou de sessão. Eles são usados apenas enquanto você está no site. E são apagados assim que você sai do site. São necessários para manter você conectado enquanto navega entre as páginas ou para lembrar o idioma e a região que você selecionou.
  • Cookies persistentes. Estes permanecem no dispositivo depois que você sai do site. Eles evitam que você precise aceitar ou recusar as políticas de cookies a cada visita ao site. Geralmente permanecem ativos por cerca de um ano.

É possível que cookies de sessão se tornem persistentes. Por exemplo, se você marcar caixas como “Lembrar de mim”, “Salvar configurações” ou algo semelhante em um site, os dados serão salvos em um cookie persistente.

Por fonte

  • Cookies primários. São criados pelo próprio site. Eles permitem que o site funcione corretamente e ofereça uma boa experiência aos visitantes. Eles também podem ser usados para fins de análise e marketing.
  • Cookies de terceiros. Estes são coletados por serviços externos. Servem para exibir anúncios e coletar estatísticas de publicidade, entre outras funções. Esta categoria também inclui cookies de serviços de análise como o Google Analytics e redes sociais. Esses cookies guardam suas credenciais de login, permitindo curtir páginas ou compartilhar conteúdos nas redes sociais com um clique.

Por importância

  • Cookies necessários ou essenciais. Eles dão suporte a funcionalidades principais do site, como a venda de produtos em uma plataforma de e-commerce. Nesse caso, cada usuário tem uma conta pessoal e os cookies essenciais armazenam as informações de login, senha e ID de sessão.
  • Cookies opcionais. Servem para acompanhar o comportamento do usuário e ajudar a personalizar anúncios com mais precisão. A maioria dos cookies opcionais pertence a terceiros e não afeta o uso dos recursos do site.

Por tecnologia de armazenamento

  • Padrão. Esses cookies ficam armazenados em arquivos de texto na memória padrão do navegador. Ao limpar os dados do navegador, eles são apagados, e os sites que os enviaram não conseguirão mais reconhecê-lo.
  • Há dois subtipos de cookies especiais: os supercookies e os evercookies, que armazenam dados de forma não convencional. Os supercookies são incorporados nos cabeçalhos do site e armazenados em locais não convencionais, evitando que sejam apagados pela função de limpeza do navegador. Os evercookies podem ser recuperados via JavaScript mesmo depois de serem apagados. Isso significa que eles podem ser usados para rastrear usuários de forma persistente e difícil de controlar.

Um mesmo cookie pode pertencer a várias categorias: por exemplo, a maioria dos cookies opcionais são de terceiros, enquanto os essenciais incluem os temporários que garantem a segurança de uma sessão. Para obter mais informações sobre como e quando todos esses tipos de cookies são usados, leia o relatório completo no Securelist.

Como os IDs de sessão são roubados via sequestro de sessão

Cookies que contêm um ID de sessão são os alvos mais tentadores para hackers. O roubo de um ID de sessão também é conhecido como sequestro de sessão. Vamos analisar alguns dos métodos mais comuns e interessantes.

Sniffing de sessão

O sequestro de sessão acontece quando um invasor monitora, ou “fareja”, o tráfego de Internet entre um usuário e um site. Esse tipo de ataque ocorre em sites que usam o protocolo HTTP, que é menos seguro que o HTTPS. Com o HTTP, os arquivos de cookie são transmitidos em texto simples dentro dos cabeçalhos das solicitações HTTP, o que significa que eles não são criptografados. Um invasor pode facilmente interceptar o tráfego entre você e o site e extrair os cookies.

Esses ataques normalmente acontecem em redes Wi-Fi públicas, especialmente quando não estão protegidas pelos protocolos WPA2 ou WPA3. Por isso, recomendamos ter cuidado extremo ao usar pontos de acesso públicos. É muito mais seguro usar dados móveis. Se estiver viajando para o exterior, é recomendável usar um eSIM.

Ataques de scripting entre sites (XSS)

O scripting entre sites está entre as principais vulnerabilidades de segurança da Web, e com razão. Esse tipo de ataque permite que pessoas com más intenções obtenham acesso aos dados de um site, incluindo os arquivos de cookie que contêm os cobiçados IDs de sessão.

Funciona assim: o invasor encontra uma falha no código do site e injeta um script malicioso; depois, basta você acessar a página infectada, e seus cookies estão comprometidos. O script obtém acesso total aos cookies e os envia ao invasor.

Falsificação de solicitação entre sites (CSRF/XSRF)

Ao contrário de outros tipos de ataques, a falsificação de solicitação entre sites explora a relação de confiança entre o site e seu navegador. Um invasor engana o navegador de um usuário autenticado para executar uma ação não desejada sem seu conhecimento, como alterar senha ou apagar dados, incluindo vídeos enviados.

Para esse tipo de ataque, a pessoa mal-intencionada cria uma página da Web ou um e-mail contendo um link malicioso, código HTML ou um script com uma solicitação ao site vulnerável. Basta abrir a página ou e-mail, ou clicar no link, para que o navegador envie automaticamente a requisição maliciosa ao site alvo. Todos os cookies desse site serão anexados à solicitação. Acreditando que foi você quem solicitou, digamos, a alteração da senha ou a exclusão do canal, o site executará a solicitação dos invasores em seu nome.

É por isso que recomendamos não abrir links enviados por estranhos e instalar uma solução de segurança confiável para alertar você sobre links ou scripts maliciosos.

IDs de sessão previsíveis

Às vezes, os invasores não precisam de esquemas complexos: basta adivinhar o ID de sessão. Em alguns sites, os IDs de sessão são gerados por algoritmos previsíveis e podem incluir dados como seu endereço IP junto a uma sequência de caracteres fácil de adivinhar.

Para executar esse ataque, os hackers precisam coletar amostras suficientes de IDs, analisá-las e descobrir o algoritmo de geração para prever IDs de sessão por conta própria.

Há outras maneiras de roubar um ID de sessão, como ataques de fixação de sessão, cookie tossing e man-in-the-middle (MitM). Esses métodos são detalhados em nossa postagem dedicada do Securelist.

Como se proteger de ladrões de cookies

Boa parte da responsabilidade pela segurança dos cookies recai sobre os desenvolvedores de sites. Oferecemos dicas para eles em nosso relatório completo no Securelist.

Mas há algumas coisas que todos podemos fazer para nos manter seguros online.

  • Informe dados pessoais apenas em sites que usam protocolo HTTPS. Se o site exibir “HTTP” na barra de endereço, não aceite cookies nem forneça dados confidenciais, como logins, senhas ou informações de cartão de crédito.
  • Preste atenção aos alertas do navegador. Se você receber um aviso de certificado de segurança inválido ou suspeito ao visitar um site, feche a página imediatamente.
  • Mantenha seu navegador atualizado ou ative atualizações automáticas. Isso ajuda a proteger você contra vulnerabilidades conhecidas.
  • Limpe regularmente cookies e cache do navegador. Isso impede que cookies antigos e IDs de sessão vazados sejam explorados. A maioria dos navegadores permite excluir automaticamente esses dados ao serem fechados.
  • Não clique em links suspeitos. Isso é especialmente importante para links recebidos de desconhecidos em apps de mensagens ou e-mail. Se tiver dificuldade para distinguir links legítimos de phishing, instale uma solução de segurança que avise antes que você possa entrar em sites maliciosos.
  • Ative a autenticação de dois fatores (2FA) sempre que possível. Kaspersky Password Manager é uma forma prática de armazenar tokens 2FA e gerar códigos temporários. Ele sincroniza os tokens em todos os seus dispositivos, tornando muito mais difícil para um invasor acessar sua conta após o término da sessão: mesmo que roube seu ID de sessão.
  • Recuse aceitar todos os cookies em todos os sites. Aceitar todos os cookies de todos os sites não é a melhor abordagem. Muitos sites permitem escolher entre aceitar todos os cookies ou apenas os essenciais. Sempre que possível, escolha a opção “somente cookies essenciais”, pois são os necessários para o funcionamento do site.
  • Conecte-se a redes públicas de Wi-Fi apenas como último recurso. Normalmente, essas redes têm pouca segurança, o que facilita a ação de invasores. Se precisar usar uma rede pública, evite fazer login em redes sociais, aplicativos de mensagens, serviços bancários online ou em quaisquer outros serviços que exijam autenticação.

Quer aprender ainda mais sobre cookies? Confira esses artigos:

Como bloquear cookies no seu navegador

Tecnologia de Atribuição com Respeito à Privacidade da Mozilla

Estão pegando suas impressões digitais?

Como controlar cookies: um experimento no mundo real

O som dos rastreadores on-line

Dicas

O Infostealer entrou no chat

Uma nova onda de ataques ClickFix que dissemina um infostealer para macOS está publicando guias de usuário maliciosos no site oficial do ChatGPT, explorando o recurso de compartilhamento de conversas do chatbot.

Como espionar uma rede neural

O ataque Whisper Leak permite que um invasor deduza o tema da conversa com um assistente de IA sem precisar descriptografar o tráfego. Estudamos como isso ocorre e o que você pode fazer para proteger seus bate-papos com IA.