Fingrene helt nede i kagedåsen: Undersøgelse afslører risikoen ved web cookies

Et nøjere indblik i internet-cookies

Et nærmere kig på internet-cookies

Du har helt sikkert set pop op-vinduerne. De findes på næsten alle hjemmesider, du besøger. Webcookies, eller blot cookies, er blevet en så fundamental del af vores browsingrutine, at vi knap nok tænker over det, før vi klikker på “Accepter alle”.

Cookies er små tekstfiler, der gemmes på din enhed af de hjemmesider, du besøger. De indeholder oplysninger om din browsingaktivitet og dine præferencer og hjælper hjemmesider med at huske detaljer mellem sessioner. Cookies gør browseroplevelsen mere bekvem og personlig. De kan f.eks. holde dig logget ind eller huske, hvad der er i din indkøbskurv, selvom du forlader siden og vender tilbage senere. Cookies kan dog også spore din aktivitet til reklameformål, hvilket er grunden til, at nogle mennesker er bekymrede for deres privatliv.

Ligesom småkagerne i supermarkedet findes internetcookies også i mange varianter:

• Førstepartscookies oprettes og gemmes af det websted, du besøger i øjeblikket. De bruges til at huske loginoplysninger, brugerpræferencer og indstillinger på det pågældende websted. Når du f.eks. logger ind på et websted, kan førstepartscookies gemme dit brugernavn, så du ikke behøver at indtaste det igen ved dit næste besøg. Førstepartscookies betragtes normalt som mindre påtrængende, men de kan stadig udgøre en alvorlig risiko, især når de gemmer følsomme data som session-id'er eller loginoplysninger, der, hvis de bliver stjålet, kan give cyberkriminelle adgang til personlige konti eller endda virksomhedens netværk.
• Tredjepartscookies gemmes på din enhed af et andet websted og ikke det websted, du besøger. For eksempel kan annoncører eller analyseudbydere indstille disse cookies til målrettet annoncering og adfærdssporing. Tredjepartscookies sporer din aktivitet på forskellige websteder, f.eks. hvilke links du klikker på, og hvilke produkter du ser på.
• Supercookies er sporingsmekanismer, der er meget sværere at opdage og fjerne. I modsætning til standardcookies, der gemmes i din browser og let kan slettes, gemmer disse sig på mere snedige steder, såsom Flash-lokal lagerplads eller HTML5-lokal lagerplads, eller bruger endda teknikker som ETags eller HSTS for at forblive på din enhed. Nogle supercookies tilføjes endda af internetudbydere, der placerer specielle identifikatorer i din internettrafik for at spore dig på alle de websteder, du besøger. Da de gemmes på usædvanlige steder eller tilføjes gennem manipulation af netværkslaget, kan supercookies dukke op igen, selv efter du har slettet cookies i en browser, hvilket gør dem til en alvorlig sikkerhedsrisiko.
• Zombie-cookies “kommer tilbage fra de døde”, selv efter du har slettet dem. De genskabes ofte automatisk ved hjælp af sikkerhedskopier, der er gemt uden for den normale cookie-lagerplads, hvilket gør zombie-cookies næsten umulige at fjerne og en alvorlig trussel mod privatlivets fred.

Undersøgelsen afslører den knapt så søde side ved web cookies

De fleste cookies er harmløse. Men i de forkerte hænder kan selv den mindste smule afsløre et helt digitalt spor, så det kan være risikabelt at acceptere webcookies blindt. Og vores nyeste undersøgelse afslører, hvor risikabelt det er. Som opfølgning på sidste års undersøgelse af webcookies har vi igen samarbejdet med forskere fra NordStellar, en platform for trusselsstyring, som har analyseret endnu en række på over 93,7 milliarder cookies, der blev udbudt til salg på dark web-fora og Telegram-markedspladser. Forskerne undersøgte, hvor de kom fra, hvad de indeholdt, om de var aktive, og hvordan cyberkriminelle bruger dem.

Det er vigtigt at bemærke, at hverken NordVPN eller dets forskningspartnere har købt de stjålne cookies og/eller fået adgang til indholdet i dem. Vores partnere har kun analyseret de data, der var tilgængelige i cookie-salgsfortegnelserne, hvilket sikrer, at vi har opretholdt internetbrugernes privatliv og sikkerhed under udarbejdelsen af denne forskningsrapport.

Sådan bliver webcookies opsnappet

Cyberkriminelle har ikke brug for en ovn for at bage cookies. De stjæler dem ved hjælp af malware. I vores undersøgelse fik forskerne påvist, at næsten alle blev høstet af infostealers, trojanere og keyloggers. Disse kategorier af malware er specielt designet til at indsamle login-data, cookies, gemte browseradgangskoder og krypto wallets. Her er nogle af de mest almindelige værktøjer bag de stjålne webcookies i vores undersøgelse:

• Redline er en af de mest udbredte keyloggere og infostealere, der annonceres som malware as a service. Redline Stealer er ansvarlig for den største del af de stjålne cookies i vores datasæt – næsten 42 milliarder cookies. Imidlertid var kun 6,2% stadig aktive, hvilket betyder, at levetiden for stjålne data er relativt kort.
• Vidar er også en malware-as-a-service med specifikke konfigurationer, der er designet til at målrette mod bestemte typer data. Den indsamlede omkring 10,5 milliarder cookies, hvoraf 7,2% stadig er gyldige.
• LummaC2 er en stealer, der tilbydes som en service til cyberkriminelle. Den er nyere, men vokser hurtigt i brug. Den var ansvarlig for over 8,8 milliarder stjålne cookies, hvoraf 6,5% stadig er aktive.
• CryptBot er en infostealer, der primært er rettet mod Windows-operativsystemer. Selvom den kun tegnede sig for 1,4 milliarder cookies, var 83,4% af dem stadig aktive, hvilket gør CryptBot til den mest effektive malware på vores liste.

Disse malware-værktøjer er nemme at bruge og bredt tilgængelige, hvilket gør dem tilgængelige for næsten alle. De gemmer sig ofte i piratkopieret software eller tilsyneladende harmløse downloads. Når de er installeret, scanner de browserens cookie-lager og sender alt til en kommando- og kontrolserver. Derfra kan dataene blive opført på dark web, nogle gange inden for få minutter.

Hvad gemmer der sig så i kagedåsen?

Så hvad indeholder disse cookies egentlig? En hel del faktisk. Når cyberkriminelle sælger stjålne cookies, mærker de dem ofte med nøgleord for at vise, hvilken type data de får. Nogle af de mest almindelige nøgleord var “ID” (18 milliarder), efterfulgt af “session” (1,2 milliarder). Et betydeligt antal stjålne cookies var mærket med nøgleordene “auth” (272,9 millioner) og “login” (61,2 millioner). Disse mærker tyder på, at cookies er knyttet til specifikke brugerkonti, hvilket betyder, at de kan genbruges til at kapre live-sessioner uden en adgangskode. Det er særligt bekymrende, når man tænker på, at ud af de 93,7 milliarder stjålne cookies, der blev analyseret, var 15,6 milliarder stadig aktive.

Men det er ikke kun adgang til konti, der er på spil. Nogle af disse cookies indeholder også personlige oplysninger, såsom brugerens navn, e-mailadresse, land og by samt køn, fødselsdag eller endda fysisk adresse. Disse oplysninger er lige så farlige, fordi de kan give trusselsaktører mulighed for at udvikle personlige social engineering-angreb og i værste fald stjæle brugernes identitet. Og når oplysninger som din placering eller fødselsdag er tilgængelige, er det ikke kun en risiko for privatlivets fred, men også en trussel mod din personlige sikkerhed.

Hvor kom cookierne fra?

Forskerne undersøgte også nærmere, hvor de stjålne cookies kom fra, ved at analysere tre hovedfaktorer: den platform, hvorfra de blev skrabet, oprindelseslandet og operativsystemet.

Platforme

På platformsiden dominerer store navne, hvilket ikke er overraskende. Cookies tilknyttet Google-tjenester udgjorde den største del af datasættet – mere end 4,5 milliarder cookies knyttet til Gmail, Google Drive og andre Google-tjenester. YouTube og Microsoft tegnede sig hver for over 1 milliard cookies. 

Populære platforme er attraktive mål, fordi man kan hente flere oplysninger fra dem. Derudover bruges Google- og Microsoft-konti ofte til multifaktor-godkendelse. Ved at stjæle en Google- eller Microsoft-session-cookie kan cyberkriminelle få adgang til e-mails, filer, kalendere og endda tilknyttede konti uden at skulle gætte adgangskoder eller udløse tofaktorgodkendelse.

Lande

Cookies kan blive stjålet over hele verden, og tallene understøtter denne teori. Mens mange af de stjålne cookies ikke indeholdt data om brugerens land, var de, der gjorde, knyttet til mindst 253 forskellige lande og territorier. Nogle cookie-lister var markeret som “ukendt”, så det reelle tal kan være endnu højere.

Brasilien, Indien, Indonesien og USA var blandt de mest berørte lande. I Europa toppede Spanien listen med 1,75 milliarder stjålne cookies, mens Storbritannien, trods kun at tegne sig for omkring 800 millioner cookies, havde en høj andel af aktive cookies, nemlig 8,3%. Danmark lå også relativt højt blandt de europæiske lande. Hele 116 millioner cookies var blevet stjålet, hvilket var højere end blandt andet vores naboland Norge, som “kun” stod noteret for 95 millioner stjålne cookies. Af de 116 millioner stjålne cookies i Danmark var 7,90% stadig aktive.

Enheder

De fleste cookies blev hentet fra Windows-enheder, hvilket ikke er overraskende, da det meste malware er rettet mod Windows. Over 13,2 milliarder cookies blev dog hentet fra andre operativsystemer, eller deres kilde er ukendt. Så selvom Windows-brugere stadig er det største mål, bør brugere af andre systemer ikke føle sig helt sikre – angreb på andre platforme forekommer også.

Hvad kan en cyberkriminel bruge dine webcookies til?

Cookies lyder måske sødt og uskyldigt, men nogle gange kan de efterlade en rigtig dårlig smag i munden. Sandheden er, at selv de mest ubetydelige cookies kan gøre stor skade på dig eller din virksomhed. Når først en dør er åbnet, er det ikke så svært at åbne andre. Sessionscookies, især aktive cookies, er en guldgrube. De giver angribere mulighed for at springe login-sider over. Men risiciene stopper ikke der. Stjålne cookies kan også bruges til at:

• Overtage dine sociale medier, e-mail eller online shopping-konti.
• Udgive sig for at være dig online ved hjælp af gemte loginoplysninger eller autofyld-oplysninger.
• Omgå tofaktorgodkendelse, hvis cookien markerer en “betroet” enhed.
• Iværksætte målrettede phishing-angreb ved hjælp af dine personlige oplysninger.
• Bevæge sig lateralt på tværs af netværket, især i virksomheder, der bruger cookie-baseret SSO (single sign-on).
• Få adgang til finansielle data eller kundedata og andre følsomme oplysninger.
• Hjælpe med at udføre ransomware-angreb ved at stjæle loginoplysninger eller få adgang til systemrettigheder på højere niveau.

Sådan får du skruet låget ordentligt på kagedåsen

At beskytte dig mod cookie-tyveri betyder ikke, at du skal opgive internettet helt, men det kræver, at du ændrer nogle vaner:

• Tænk dig godt om, før du accepterer cookies. Det første skridt mod at gøre dig selv mere sikker er at forstå, at ikke alle cookies er nødvendige, og at du ikke er nødt til at acceptere alle cookies, bare fordi du kan. Afvis unødvendige cookies, når det er muligt, især tredjepartscookies eller cookies, der sporer din adfærd. De fleste websites fungerer fint uden dem.
• Få yderligere sikkerhedsværktøjer. Malware, herunder infostealers, kommer ofte ind på din computer via downloads eller phishing-links. Værktøjer som Threat Protection Pro™ kan blokere ondsindede websteder og scanne downloads for malware, inden de kommer ind på din computer.
• Ryd dine cookies regelmæssigt. Ikke alle cookies er værd at beholde – slet de gamle. Gør det til en vane, især efter at have logget ind på offentlige eller delte computere. Dette trin kan virke ubetydeligt, men det hjælper med at reducere den periode, hvor dine data kan blive kapret.
• Brug en mere sikker forbindelse. Start med at undgå offentlige Wi-Fi-netværk eller ukrypterede forbindelser. Få den bedste VPN-tjeneste, der krypterer din internettrafik og gør den mere sikker mod aflytning.