“Pencurian cookie” adalah salah satu tren terbaru dalam kejahatan dunia maya yang digunakan peretas untuk mem-bypass kredensial dan mengakses basis data pribadi, menurut Sophos .
Saran keamanan yang umum untuk organisasi adalah memindahkan informasi paling sensitif mereka ke layanan cloud atau menggunakan otentikasi multifaktor (MFA) sebagai sarana keamanan. Namun, pelaku jahat telah menemukan cara menggesek cookie yang terhubung ke detail login dan mereplikasinya untuk meretas sesi web aktif atau terbaru dari program yang biasanya tidak disegarkan.
Peretas ini dapat mengeksploitasi beberapa alat dan layanan online yang berbeda, termasuk browser, aplikasi berbasis web, layanan web, email yang terinfeksi malware, dan file ZIP.
Aspek paling berbahaya dari gaya peretasan ini adalah bahwa cookie digunakan secara luas sehingga dapat membantu pengguna jahat mengakses sistem bahkan jika protokol keamanan diterapkan. Sophos mencatat bahwa botnet Emotet adalah salah satu malware pencuri cookie yang menargetkan data di browser Google Chrome, seperti login yang disimpan dan data kartu pembayaran, meskipun browser afinitas untuk enkripsi dan otentikasi multifaktor.
Pada skala yang lebih luas, penjahat dunia maya dapat membeli data cookie yang dicuri, seperti kredensial dari pasar bawah tanah, kata publikasi tersebut. Rincian login untuk pengembang game Electronic Arts berakhir di pasar bernama Genesis, yang dilaporkan dibeli oleh kelompok pemerasan Lapsus$. Grup ini mampu mereplikasi kredensial login karyawan EA dan akhirnya mendapatkan akses ke jaringan perusahaan, mencuri 780 gigabyte data. Grup tersebut mengumpulkan detail kode sumber game dan mesin grafis yang mereka gunakan untuk mencoba memeras EA.
Demikian pula, Lapsus$ meretas database Nvidia pada bulan Maret. Laporan mengklaim pelanggaran itu mungkin telah mengungkapkan informasi login lebih dari 70.000 karyawan, di samping 1TB data dari perusahaan, termasuk skema, driver, dan detail firmware. Namun, tidak ada kabar apakah peretasan itu disebabkan oleh pencurian cookie.
Peluang mencuri cookie lainnya mungkin mudah dipecahkan jika itu adalah produk perangkat lunak sebagai layanan, seperti Amazon Web Services (AWS), Azure, atau Slack. Ini dapat dimulai dengan peretas yang memiliki akses dasar tetapi menipu pengguna agar mengunduh malware atau membagikan informasi sensitif. Layanan semacam itu cenderung tetap terbuka dan berjalan terus-menerus, artinya cookie mereka tidak cukup sering kedaluwarsa agar protokolnya aman dari segi keamanan.
Sophos mencatat bahwa pengguna dapat secara teratur menghapus cookie mereka untuk mempertahankan protokol yang lebih baik; namun, itu berarti harus mengautentikasi ulang setiap kali.