מי גנב ת'עוגיות מהמחשב: מדוע ההאקרים עוברים לגנוב קובצי עוגיות?

"יותר ויותר ארגונים מאמצים את ההגנה המבוססת על אימות רב-שלבי (MFA – ר"ת Multi-Factor Authentication). ככל שהמגמה מתרחבת, כך גניבת קובצי עוגיות (Cookie files) בדפדפן האינטרנט הופכת לשיטת התקיפה המועדפת של התוקפים, המבקשים לערער את אמצעי האבטחה של ארגונים", כך אמר צ'סטר וישנייבסקי, מנהל טכנולוגיות ראשי בסופוס (Sophos).

לדברי וישנייבסקי, "על מנת להילחם בסיכון האדיר הנשקף מסיסמאות גנובות, האימות הרב-שלבי – הדורש היבט נוסף של אימות, מעבר לשם משתמש וסיסמה – הפך להיות לאחד הנדבכים החשובים יותר של הגנת הסייבר. ארגונים כבר מבינים את זה, וכיום האימות הרב-שלבי נפוץ יותר ויותר גם בקרב עסקים קטנים ובינוניים".

"אבל", הוא ציין, "כיוון שלעיתים קובצי עוגיות של דפדפן מוגדרים כך שיאפשרו כניסה מבלי להפעיל אימות רב-שלבי, גניבה של נתוני הכניסה לאינטרנט מתגלה כפתרון אידיאלי עבור התוקפים".

צ'סטר וישנייבסקי, מנהל טכנולוגיות ראשי למגזר העסקי בסופוס. צילום: יח"צ

"בסופו של דבר, העוגייה היא המפתח האוניברסלי שפותח הכל"

לפי וישנייבסקי, "יותר ויותר עסקים קטנים מאמצים שיטות אבטחה טובות כמו אימות רב-שלבי. אבל אם אני יכול להיכנס למחשב אחד ולגנוב את העוגיות האלו, אני לא צריך לדאוג יותר לגבי אימות רב-שלבי. אני יכול פשוט לעקוף את האימות לחלוטין. בסופו של דבר, העוגייה היא המפתח האוניברסלי שפותח הכל".

"הצמיחה של טקטיקה זו בקרב תוקפים מודגשת בממצאים שעולים מדו"ח האיומים של סופוס ל-2024 שפורסם לאחרונה", אמר וישנייבסקי. "על פיו, כמעט כל המתקפות שהחוקרים שלנו עקבו אחריהן – 90% מהן – כללו שימוש בנוזקות שמטרתן היא גניבת מידע (Infostealers)". הוא הסביר כי "אחוז המתקפות הכוללות גניבת מידע לא נבדק במסגרת המחקר בשנים קודמות, מהטעם הפשוט: הנושא לא נתפס כמשמעותי".

"למרות שניתן להשתמש בכלים כדי לגנוב סיסמאות, הרי שלעתים קרובות התוקפים עושים שימוש בנוזקות כדי להשיג קובצי Cookie בדפדפן. אני חושב שזאת אחת הסיבות לכך ש-Infostealers מהווים כיום את החלק הארי של המתקפות – זה פשוט הופך להיות הימור בטוח עבורם".

"טקטיקה זו מהווה איום רציני במיוחד עבור חברות קטנות ובינוניות, שאולי אינן מודעות לכך שהאימות הרב-שלבי אינו חסין", הזהיר וישנייבסקי. "הם לא מבינים שאם העוגייה נגנבת, לפושע יש מעתה גישה לארגון שלהם".

יותר ויותר ארגונים מאמצים את ההגנה המבוססת עליו. אימות רב-שלבי (MFA). צילום: אילוסטרציה. שאטרסטוק

"הפתרון הוא זיהוי חריגות"

לדבריו, "ההגנות העיקריות מפני מתקפות המבוססת על גניבת עוגיות כוללות זיהוי חריגות בהתנהגות המשתמש. ארגונים ומשתמשים נדרשים להשתמש בטקטיקות שונות כדי לזהות שהם נפגעו. כאשר ליריב שלכם יש גישה לעוגיות שלכם, הפתרון הוא זיהוי חריגות".

"רצוי שההליך של ניטור התנהגות חריגה יכלול גם חיפוש אחר נסיעות לא הגיוניות ופעילות בשעות עבודה לא סבירות, אמר וישנייבסקי, "לדוגמה, משתמש שבדרך כלל לא מתחבר בשעון מוסקבה, או משתמש שלא מתחבר מסינגפור".

"חשוב גם לעקוב אחר גישה לתיקיות קבצים, אפליקציות, או משאבים משותפים אחרים, שהמשתמש אינו ניגש אליהם בדרך כלל", סיכם וישנייבסקי.

"אם אתה רואה כניסה לרשת הארגונית ומיד לאחריה רואה כניסה למשאבי אנוש, או לפעילות פיננסית, כנראה שזו לא בדיוק ההתנהגות הנורמלית של ביל, כי ביל הוא בסך הכל איש מכירות. לעסקים קטנים אין בדרך כלל את המשאבים הנדרשים על מנת לערוך מעקב כזה, מה שהופך אותם לפגיעים יותר לסיכונים אלה".