Wie snoept er mee? De verborgen risico’s van cookies op het internet

Cookies: gemak met een keerzijde

Je kent ze wel: de pop-ups die op bijna elke website opduiken. Cookies zijn zo’n vast onderdeel van onze browse-ervaringgeworden dat we meestal zonder nadenken op ‘Alles accepteren’ klikken.

Cookies zijn kleine tekstbestanden die websites op je apparaat opslaan. Ze bevatten informatie over je surfgedrag en voorkeuren, en zorgen ervoor dat websites je kunnen onthouden tussen verschillende sessies. Zo maken cookies het internetgebruik makkelijker en persoonlijker. Denk aan ingelogd blijven of het bewaren van producten in je winkelmandje, zelfs als je de site even verlaat.

Maar cookies kunnen ook worden gebruikt om je online gedrag te volgen voor advertentiedoeleinden – en dat is waar we ons zorgen over moeten maken.

Internetcookies zijn er, net als echte koekjes, in allerlei varianten.

• First-party cookies worden aangemaakt en opgeslagen door de website die je op dat moment bezoekt. Ze worden gebruikt om je inloggegevens, voorkeuren en instellingen op die specifieke site te onthouden.Als je bijvoorbeeld inlogt op een website, kan een first-party cookie je gebruikersnaam opslaan zodat je die de volgende keer niet opnieuw hoeft in te vullen. Deze cookies worden vaak als minder opdringerig gezien, maar dat betekent niet dat ze onschuldig zijn. Ze kunnen gevoelige informatie bevatten, zoals sessie-ID’s of logingegevens. Als die in verkeerde handen vallen, kunnen aanvallers toegang krijgen tot persoonlijke accounts – of zelfs tot bedrijfsnetwerken.
• Third-party cookies worden niet geplaatst door de website die je bezoekt, maar door een andere partij. Denk bijvoorbeeld aan adverteerders of analysebedrijven die deze cookies gebruiken voor gerichte advertenties en om je gedrag online te volgen.Ze houden bij wat je doet op verschillende websites, zoals welke links je aanklikt en welke producten je bekijkt.
• Supercookies zijn volgtechnieken die veel lastiger te detecteren en te verwijderen zijn. In tegenstelling tot gewone cookies, die in je browser worden opgeslagen en makkelijk te wissen zijn, verstoppen supercookies zich op minder zichtbare plekken – bijvoorbeeld in Flash-opslag, HTML5 local storage of via technieken als ETags en HSTS. Sommige supercookies worden zelfs door internetproviders toegevoegd. Zij plaatsen speciale identificaties in je internetverkeer om je op alle websites die je bezoekt te kunnen volgen. Omdat deze cookies via ongebruikelijke methoden worden opgeslagen of via het netwerk zelf worden meegestuurd, kunnen ze na het wissen van je browsercookies gewoon weer terugkomen. 
• Zombiecookies komen “terug uit de dood” nadat je ze hebt verwijderd. Ze worden vaak automatisch opnieuw aangemaakt via reservekopieën die buiten de standaard cookiebestanden zijn opgeslagen. Daardoor zijn ze bijna niet te verwijderen en vormen ze een serieus risico voor je privacy.

Onderzoek toont de minder smakelijke kant van webcookies

De meeste cookies zijn onschuldig. Maar in verkeerde handen kan zelfs de kleinste hoeveelheid informatie al genoeg zijn om je digitale leven bloot te leggen. Zonder erbij stil te staan alle cookies accepteren is dan ook geen onschuldige handeling. Ons nieuwste onderzoek laat zien hoe groot de risico’s echt zijn.

Als vervolg op het onderzoek van vorig jaar zijn we opnieuw een samenwerking aangegaan met onafhankelijke onderzoekers. Zij analyseerden dit keer een nieuwe dataset van meer dan 93,7 miljard cookies die te koop werden aangeboden op fora op het dark web en op Telegram-marktplaatsen. Ze onderzochten waar de cookies vandaan kwamen, wat erin stond, of ze nog actief waren en hoe cybercriminelen ze gebruiken.

Belangrijk om te weten: noch NordVPN, noch de onderzoekspartners hebben gestolen cookies gekocht of de inhoud ervan bekeken. De analyse is uitsluitend gebaseerd op de informatie die beschikbaar was in de verkoopaanbiedingen van deze cookies. Zo zorgden we dat de privacy en veiligheid van internetgebruikers gewaarborgd bleef tijdens het opstellen van het rapport.

Zo worden cookies gestolen

Cybercriminelen hebben geen oven nodig om cookies te bakken. Ze stelen ze met malware. In ons onderzoek bleek dat bijna alle cookies werden buitgemaakt met infostealers, trojans en keyloggers. Dit zijn soorten malware die speciaal zijn gemaakt om inloggegevens, cookies en opgeslagen wachtwoorden in browsers en crypto-wallets te verzamelen.

Hier zijn enkele van de meest gebruikte tools achter de gestolen cookies in ons onderzoek:

• Redline is een van de meest gebruikte keyloggers en infostealers, aangeboden als malware-as-a-service. Redline Stealer is verantwoordelijk voor het grootste deel van de gestolen cookies in onze dataset – bijna 42 miljard. Maar slechts 6,2% daarvan was nog actief, wat betekent dat gestolen data vaak een korte levensduur heeft.
• Vidar is ook een malware-as-a-service met speciale instellingen om bepaalde data te stelen. Het verzamelde ongeveer 10,5 miljard cookies, waarvan 7,2% nog actief was.
• LummaC2 is een stealer die als dienst wordt aangeboden aan cybercriminelen. Het is nieuw, maar groeit snel in gebruik. Het was verantwoordelijk voor ruim 8,8 miljard gestolen cookies, waarvan 6,5% nog actief.
• CryptBot is een infostealer die vooral Windows-systemen aanvalt. Hoewel het ‘maar’ 1,4 miljard cookies stal, was 83,4% daarvan nog actief, waardoor CryptBot de meest effectieve malware in onze lijst is.

Deze malwaretools zijn makkelijk te gebruiken en voor bijna iedereen beschikbaar. Ze verstoppen zich vaak in illegale software of schijnbaar onschuldige downloads. Zodra ze geïnstalleerd zijn, scannen ze de cookie-opslag van je browser en sturen ze alles door naar een command-and-controlserver. Vanaf daar wordt de data soms binnen enkele minuten te koop aangeboden op het dark web

Welke informatie bevatten cookies?

Welke gegevens verzamelen cookies? Best veel. Wanneer cybercriminelen gestolen cookies verkopen, geven ze deze vaak labels mee om aan te geven welke gegevens ze bevatten. De meest voorkomende labels waren “ID” (18 miljard), gevolgd door “session” (1,2 miljard). Een flink aantal cookies kreeg ook de labels “auth” (272,9 miljoen) en “login” (61,2 miljoen). Deze labels wijzen erop dat de cookies gekoppeld zijn aan specifieke gebruikersaccounts, waardoor ze zonder wachtwoord gebruikt kunnen worden om lopende sessies over te nemen. Dat is zorgwekkend, zeker omdat van de 93,7 miljard geanalyseerde cookies er nog 15,6 miljard actief waren.

Maar het probleem is niet alleen toegang tot accounts. Sommige cookies bevatten ook persoonlijke gegevens, zoals naam, e-mailadres, land en stad, maar ook geslacht, geboortedatum of zelfs adres. Deze informatie is net zo gevoelig, omdat criminelen er gepersonaliseerde social engineering-aanvallen mee kunnen voorbereiden of in het ergste geval iemands identiteit kunnen stelen. En wanneer gegevens zoals je locatie of verjaardag bekend zijn, vormt dat niet alleen een privacyprobleem, maar ook een risico voor je persoonlijke veiligheid.

Waar kwamen de meeste cookies vandaan?

De onderzoekers bekeken ook waar de gestolen cookies precies vandaan kwamen. Ze analyseerden drie belangrijke factoren: het platform waar ze werden buitgemaakt, het land van herkomst en het besturingssysteem.

Platformen

Op het gebied van platformen domineren bekende namen, zoals verwacht. Cookies die gekoppeld zijn aan Google-diensten vormen het grootste deel van de dataset – meer dan 4,5 miljard cookies kwamen van Gmail, Google Drive en andere Google-services. YouTube en Microsoft leverden elk meer dan 1 miljard cookies.

Populaire platformen zijn aantrekkelijke doelen omdat er veel informatie te halen valt. Bovendien worden Google- en Microsoft-accounts vaak gebruikt voor multifactorauthenticatie. Het stelen van een sessie-cookie van Google of Microsoft kan cybercriminelen toegang geven tot e-mail, bestanden, agenda’s en gekoppelde accounts, zonder dat ze wachtwoorden hoeven te raden of tweestapsverificatie hoeven te omzeilen.

Landen

Cookies worden wereldwijd gestolen, dat laten de cijfers zien. Hoewel veel gestolen cookies geen informatie bevatten over het land van de gebruiker, waren de cookies die dat wel deden afkomstig uit minstens 253 verschillende landen en gebieden. Informatie in sommige labels vermeldde als land ‘onbekend’, dus het werkelijke aantal kan nog hoger liggen.

Brazilië, India, Indonesië en de Verenigde Staten waren het meest getroffen. In Europa voert Spanje de lijst aan met 1,75 miljard gestolen cookies. Er kwamen ongeveer 405 miljoen gestolen cookies uit Nederland, waarvan het percentage actieve cookies met 7,41% relatief laag was.

Apparaten

De meeste cookies werden buitgemaakt op Windows-apparaten, wat niet verrassend is aangezien de meeste malware op Windows is gericht. Toch kwamen er ook meer dan 13,2 miljard cookies van andere besturingssystemen of onbekende bronnen. Hoewel Windows-gebruikers nog steeds het vaakst doelwit zijn, zijn gebruikers van andere systemen niet volledig veilig – aanvallen op andere platformen komen ook voor.

Wat kan een cybercrimineel met jouw cookies doen?

Cookies lijken misschien onschuldig, maar ze kunnen ernstige schade veroorzaken. Zelfs kleine, onopvallende cookies kunnen grote problemen opleveren voor jou of je bedrijf. Zodra één beveiligingslek is gevonden, wordt het voor aanvallers veel makkelijker om verder binnen te dringen. Vooral actieve sessie-cookies zijn waardevol, omdat ze aanvallers toegang tot systemen kunnen geven zonder dat ze in hoeven te loggen.

Maar er zijn meer risico’s. Gestolen cookies kunnen ook worden gebruikt om:

• Je social media, e-mail of andere online accounts over te nemen.
• Je online te imiteren met opgeslagen inloggegevens of ingevulde formulieren.
• Tweefactorauthenticatie te omzeilen als de cookie aangeeft dat het een ‘vertrouwd’ apaaraat is.
• Gerichte phishing-aanvallen te starten met jouw persoonlijke gegevens.
• Zich binnen een netwerk te verplaatsen, vooral bij bedrijven die cookie-gebaseerde single sign-on (SSO) gebruiken.
• Toegang te krijgen tot financiële gegevens, klantgegevens en andere gevoelige informatie.
• Ransomware-aanvallen te helpen uitvoeren door inloggegevens te stelen of toegang te krijgen tot systeemrechten.

Zo voorkom je dat je cookies worden gestolen

Je hoeft het internet niet helemaal te vermijden om jezelf tegen cookie-diefstal te beschermen, maar je zult wel een paar gewoontes moeten aanpassen:

• Denk goed na voordat je cookies accepteert. De eerste stap naar meer veiligheid is begrijpen dat niet alle cookies nodig zijn. Als je gevraagd wordt alle cookies te accepteren, betekent dat niet dat je dat ook moet doen. Weiger waar mogelijk onnodige cookies, vooral third-party cookies of cookies die je gedrag volgen. De meeste websites werken prima zonder deze cookies.
• Gebruik extra beveiligingstools. Malware, zoals infostealers, komt vaak via downloads of phishinglinks je computer binnen. Tools zoals Threat Protection Pro™ kunnen schadelijke websites blokkeren en downloads controleren voordat ze je computer bereiken.
• Verwijder je cookies regelmatig. Je hoeft cookies niet oneindig te bewaren – verwijder ze regelmatig. Maak hier een gewoonte van, vooral na het inloggen op openbare of gedeelde computers. Dit lijkt een kleine stap, maar het verkleint het risico op misbruik van je data. 
• Gebruik een veiligere verbinding. Vermijd openbare wifi-netwerken of onbeveiligde verbindingen. Download een VPN die je internetverkeer versleutelt, om te voorkomen dat derden je online activiteiten makkelijk kunnen volgen.