·
Zijn cookies gevaarlijk? Miljarden gestolen cookies leggen onze gegevens bloot
"We gebruiken cookies om je de beste online ervaring te bieden. Ze kunnen worden gestolen en gebruikt in een cyberaanval. Ben je het daarmee eens?"
Deskundigen analyseerden een dataset van 54 miljard cookies en hun vermeldingen, die op het dark web te koop waren, om erachter te komen hoe ze werden gestolen, welke veiligheids- en privacyrisico's ze met zich meebrengen en welke soorten informatie ze bevatten. Het doel van dit onderzoek is om licht te werpen op de manier waarop internetgebruikers hun accounts, geld en privégegevens in gevaar brengen door cookies simpelweg zonder nadenken te accepteren.
De goede, de slechte en de noodzakelijke: de verschillende soorten internetcookies
Cookies zijn een integraal onderdeel van hoe het internet tegenwoordig werkt. Het zijn in feite kleine tekstbestanden die een website op je apparaat opslaat. Maar als je je er verder in verdiept, valt er veel meer te ontdekken. Laten we de meestvoorkomende soorten cookies en hun risico's bekijken.
First-party cookies worden aangemaakt en opgeslagen door de website die je bezoekt. Deze cookies onthouden je inloggegevens, personaliseren de inhoud van de website en slaan je voorkeuren op. Ze worden daarom als essentieel beschouwd voor de basisfunctionaliteit van de website en het gebruikerscomfort.
Hoewel ze doorgaans minder opdringerig zijn dan third-party cookies, kunnen first-party cookies ernstige veiligheidsrisico's met zich meebrengen. Het gaat niet alleen om de persoonlijke gegevens die erin zijn opgeslagen. Cookies zorgen ervoor dat je ingelogd blijft op websites, accounts en diensten, waardoor ook belangrijke authenticatiegegevens in gevaar komen. Van sessie-ID's tot gebruikers-ID's – cookies kunnen het allemaal bevatten. Als iemand deze cookies in handen krijgt, kan hij deze gebruiken om sessies te heropenen en toegang te krijgen tot gevoelige informatie van je accounts tot bedrijfssystemen.
Klik voorzichtig: hoe worden cookies gestolen?
Veel cybercriminelen willen cookies en de informatie die ze bevatten stelen, verkopen of gebruiken voor andere aanvallen. Maar hoe krijgen ze toegang tot de cookies van miljoenen internetgebruikers? Meestal via malware: infostealers, trojans en keyloggers. Dit zijn de meest voorkomende soorten malware die we tijdens ons onderzoek zijn tegengekomen:
Aurora
Een infostealer die zich voordoet als een legitieme applicatie die nullen bevat om detectie door antivirusprogramma's te voorkomen.
Azorult
Een infostealer die gebruikersnamen en wachtwoorden, creditcardgegevens en crypto-wallets kan stelen en ook andere malware kan downloaden.
CryptBot
Een infostealer die zich richt op Windows-besturingssystemen om accountwachtwoorden, cookies, betalingsinformatie en cryptocurrency-wallets die in browsers zijn opgeslagen te stelen.
Dark-crystal-rat
Een remote access trojan waarmee cybercriminelen het geïnfecteerde apparaat op afstand kunnen besturen. Het kan voor een aantal verschillende doeleinden worden aangepast.
MetaStealer
Deze malware is beschikbaar als abonnement voor $ 125/maand of $ 1000 voor levenslange toegang en richt zich op crypto-wallets en wachtwoorden.
Mystic
Malware die zich richt op verschillende browsers en extensies om informatie te stelen door systeemoproepen en andere technieken te gebruiken om detectie te voorkomen.
Pennywise
Een infostealer die YouTube gebruikt om zichzelf te verspreiden. Dankzij efficiënte multithreading kan het verschillende soorten gegevens stelen.
Predator-the-thief
Deze malware, bijgewerkt met extra anti-analysefuncties om detectie te voorkomen, is beschikbaar voor slechts $ 150. Een crypto-wallet-module is voor $ 100 extra te koop.
Raccoon
Malware as a service met technische ondersteuning. Het is minder onzichtbaar als andere typen omdat het gegevens verzendt terwijl deze worden verzameld en het geen technieken gebruikt om zichzelf te verbergen, maar het is populair en behoorlijk effectief.
Redline
Een keylogger en infostealer die wordt geadverteerd als malware as a service voor $ 100 per maand. Het bevat aanpassingsmodules en extra functies, zoals het downloaden van andere malware.
Taurus
Malware die zich verspreidt via malvertising en spam om gebruikers te misleiden deze zelf te downloaden. Ze gebruikt verbergingstactieken om detectie te voorkomen.
Vidar
Malware as a service die besturingssysteem- en gebruikersgegevens verzamelt met specifieke configuraties die zijn ontworpen om specifieke soorten gegevens te targeten.
De resultaten: een onsmakelijke realiteit
Onderzoekers analyseerden een verzameling van 54 miljard (54.008.833.188) cookies die beschikbaar waren op dark web-marktplaatsen. Zeventien procent was actief, wat neerkomt op meer dan 9 miljard cookies. Actieve cookies vormen een groter risico omdat ze in real time worden bijgewerkt terwijl de gebruiker op het internet surft. Inactieve cookies kunnen echter ook gebruikersgerelateerde informatie bevatten en worden gebruikt voor aanvallen en manipulatie, zelfs als ze lang geleden zijn bijgewerkt.
Meer dan de helft van zowel actieve als inactieve cookies werden met behulp van Redline gestolen. Een hoger percentage actieve cookies werd echter gestolen via Predator-the-thief, Cryptbot, MetaStealer en Taurus (respectievelijk 57%, 51%, 48%, en 44%). De aard van de gebruikte malware laat zien dat zowel ervaren cybercriminelen als beginners die malware as a service gebruiken, gegevens stelen om deze online te verkopen.
Van wie zijn deze cookies?
Platformen
Meer dan 5% van alle cookies in de dataset was afkomstig van Google, 1,3% was van YouTube, meer dan 1% was van Microsoft en nog eens 1% was van Bing.
Het feit dat deze cookies te koop zijn, vormt een groot risico voor hun eigenaren; de cookies zijn bedoeld voor belangrijke e-mailaccounts die kunnen worden gebruikt om toegang te krijgen tot andere inloggegevens. Hoewel deze percentages misschien minuscuul lijken, is het vermeldenswaardig dat 1% van de totale dataset nog steeds uit meer dan 500 miljoen cookies bestaat, wat een enorme hoeveelheid gebruikersgegevens is.
*NordVPN wordt niet onderschreven, onderhouden, gesponsord door, gelieerd of op enige manier geassocieerd met de eigenaren van de genoemde platformen. De platformen worden uitsluitend genoemd voor het nauwkeurig rapporteren van informatie met betrekking tot cookies die beschikbaar zijn op de dark web-marktplaatsen.
Apparaten
Bijna alle 54 miljard cookies zijn van Windows-apparaten gescraped (vanwege de aard van de malware). Er waren echter meer dan 31,5 miljoen Apple-cookies in de dataset. Dit toont de barsten in het systeem omdat gebruikers inloggen op hun accounts op verschillende apparaten en platformen.
De koekjes in de dataset hadden labels voor meer dan 4500 verschillende besturingssystemen. Dat komt door de specifieke aard van het besturingssysteem dat op verschillende apparaten draait – veel van de labels leken een apparaat- en modelspecifieke naam te hebben in plaats van een afzonderlijk besturingssysteem. Dit onderstreept het niveau van detail dat is opgeslagen in cookies en dat kan worden gebruikt om personen opnieuw te identificeren.
Het meest voorkomende besturingssysteem was Windows 10 Enterprise (meer dan 16 miljard, en 30% van het totaal), wat het verhoogde risico aantoont dat bedrijven worden gehackt.
*NordVPN wordt niet onderschreven, onderhouden, gesponsord door, gelieerd of op enige manier geassocieerd met de eigenaren van de genoemde handelsmerken. De handelsmerken worden uitsluitend genoemd voor het nauwkeurig rapporteren van informatie met betrekking tot cookies die beschikbaar zijn op de dark web-marktplaatsen.
Landen
De helft van de cookies bevatte geen landgegevens, hoewel 95 procent niet actief was. Van de cookies die wel gegevens over het land van de gebruiker hadden, waren Brazilië, India, Indonesië, de VS en Vietnam de meest voorkomende landen. Als we Europa nader bekijken, kwamen de meeste koekjes uit Spanje – 554 miljoen. Hoewel Groot-Brittannië op de 120e plaats staat wat betreft het aantal cookies, was meer dan de helft ervan actief. In totaal waren gebruikers uit 244 landen vertegenwoordigd in de dataset, wat het grote bereik van hackers en geavanceerde malware aantoont.
Wat zit er in de koekjestrommel?
Verkopers hebben specifieke trefwoorden aan de cookies die ze aanbboden toegewezen, zodat potentiële kopers kunnen zien welke gegevens ze in de cookies kunnen verwachten. De meestvoorkomende trefwoorden die aan de cookies zijn gekoppeld, zijn ‘toegewezen ID’ (10,5 miljard), gevolgd door ‘sessie-ID’ (739 miljoen), die beide aan specifieke gebruikers kunnen worden toegeschreven. Dit werd gevolgd door 154 miljoen vermeldingen voor het trefwoord 'authenticatie' (15% actief) en 37 miljoen vermeldingen voor 'login' (18% actief). De laatste twee zijn bijzonder gevaarlijk – velen zijn nog steeds actief, wat betekent dat iemand deze cookies kan gebruiken om in te loggen op de accounts van anderen.
Als het om persoonlijke gegevens gaat, slaan cookies meestal de gebruikersnaam, het e-mailadres, de stad, het wachtwoord en het adres op. In 9 miljoen cookies werd een specifieke stad opgenomen, terwijl ruim 2 miljoen zelfs het specifieke adres van de gebruiker bevatten. Hoewel seksuele geaardheid minder frequent voorkomt, kwam deze toch 500.000 keer voor in de dataset, met een hoger percentage actieve cookies (26%). Dit vormt een extra risico voor de LGBTQ+-gemeenschap – in sommige landen kan het openbaar maken van seksuele geaardheid ernstige gevolgen hebben.
Cybercriminelen zouden de actieve cookies kunnen gebruiken om in te loggen op iemands persoonlijke account. De informatie die daar wordt gevonden, evenals de gegevens uit de cookiebestanden zelf, zouden hen in staat stellen gedetailleerde gebruikersportfolio's te creëren en cyberaanvallen uit te voeren op mensen en hun werkgevers.
De verborgen risico's: pas op voor het cookiemonster
Hoewel internetcookies voor sommigen misschien een onschadelijke technologie lijken, vormen de 54 miljard daarvan die op het dark web worden verkocht een groot risico voor individuen en bedrijven. De informatie die zij opslaan kan zowel online als in het echte leven tot massale aanvallen leiden.
Wat kan er gebeuren als cookies van je apparaat worden gestolen?
Als een hacker een verzameling cookies van verschillende platforms en diensten in handen krijgt, kan hij deze voor tal van kwaadaardige activiteiten gebruiken:
Als iemand cookies heeft die identificatoren voor je sessies bevatten, kan hij of zij zich online voordoen als jou en ongeautoriseerde toegang krijgen tot je accounts zonder je wachtwoord te hoeven raden of te stelen. Je accounts voor social media, e-mail en online shopping kunnen allemaal gevaar lopen.
Sommige cookies kunnen een aanvaller toegang geven tot zoveel persoonlijke informatie die kan worden gebruikt voor identiteitsdiefstal. Als ze inloggen op je account waarop je naam, adres, telefoonnummer en betalingsgegevens te vinden zijn, kunnen deze allemaal worden gebruikt om onder jouw naam fraude of andere misdaden te plegen.
Er worden cookies gebruikt om je surfgedrag en voorkeuren bij te houden. Iemand met toegang tot deze informatie kan deze, samen met andere informatie over jou, gebruiken om gerichte phishing-aanvallen uit te voeren. Als de dataset groot genoeg is, kunnen ze deze verkopen aan derde partijen die geïnteresseerd zijn in het aanbieden van gerichte reclame.
Sommige websites gebruiken cookies om apparaten of IP-adressen te onthouden die met succes tweefactorauthenticatie of andere beveiligingscontroles hebben doorstaan. Sessiecookies die je informatie bevatten, kunnen iemand in staat stellen deze beveiligingsmaatregelen te omzeilen en gemakkelijker toegang te krijgen tot je beschermde accounts.
Wat kan er met een bedrijf gebeuren als cookies van hun apparaten worden gestolen?
Gestolen cookies die worden gegenereerd door het internetgebruik van werknemers van een bedrijf kunnen resulteren in een lek dat verschillende aspecten van de bedrijfsvoering, de beveiliging, de reputatie en de naleving van de wetgeving beïnvloedt.
Aanvallers kunnen cookies gebruiken om toegang te krijgen tot zakelijke accounts, interne systemen en databases. Deze toegang zou ze in staat stellen gevoelige bedrijfsinformatie, intellectueel eigendom, financiële gegevens, werknemersgegevens en klantgegevens te stelen. Als ze het systeem van een bedrijf overnemen, kunnen hackers bedrijfsaccounts vergrendelen totdat er losgeld is betaald. Ook kunnen de aanvallers transacties initiëren of het bedrijf gebruiken om phishing-aanvallen uit te voeren op leveranciers en klanten.
Een ander punt van zorg zijn reputatieschade en juridische gevolgen. Als gevoelige of gereguleerde gegevens (zoals medische dossiers) openbaar worden gemaakt, kan dit ernstige gevolgen hebben voor een organisatie, waaronder financiële verliezen als gevolg van diefstal, kosten voor het herstellen van schade, boetes voor overtredingen van de wetgeving inzake gegevensbescherming (zoals de AVG of CCPA) en de kosten voor het op de hoogte stellen van de betrokken partijen. Bovendien zouden bedrijven waarschijnlijk te maken krijgen met reputatieschade, verlies van vertrouwen bij klanten, partners en belanghebbenden, en moeilijkheden bij het aantrekken van nieuwe klanten of partners.
Versterk je verdediging: zo bescherm je cookies op je apparaat tegen hackers
Een paar maatregelen en een algemeen bewustzijn op het gebied van cyberveiligheid zullen cookiegebruik kunnen verbeteren, zowel op persoonlijk als zakelijk gebied:
1. Gebruik een veilige verbinding.
Koop een premium VPN en versleutel je internetverbinding 24/7. Dit voorkomt niet alleen dat cookies worden onderschept tijdens de verzending, maar helpt ook bepaalde identificerende informatie, zoals je IP-adres, te verbergen, waardoor het moeilijker kan worden om gegevens aan je te koppelen.
2. Gebruik extra beveiligingssoftware.
Sommige VPN-providers, zoals NordVPN, bieden extra beveiligingsfuncties om je tegen malware te beschermen die cookies steelt. NordVPN's Threat Protection blokkeert je toegang tot gevaarlijke sites en phishing-websites en scant de bestanden die je downloadt op malware.
3. Weiger de cookies.
De beste manier om diefstal te voorkomen is door te zorgen dat er niets te stelen is. De meeste websites zullen je tijdens je sessie om toestemming vragen voor het gebruik van bepaalde cookies – veel trackingcookies kun je weigeren. NordVPN's Threat Protection helpt je verder door third-party trackers te blokkeren en te voorkomen dat ze je online volgen en gegevens over je verzamelen. Daarnaast kun je je cookies periodiek verwijderen om oude of mogelijk gecompromitteerde gegevens te verwijderen. Deze stap is vooral belangrijk na het gebruik van openbare of gedeelde computers.
Mijn cookies? Gaat je niets aan
Als het om bedrijfsbeveiliging gaat, moet je min of meer dezelfde maatregelen nemen. Gebruik NordLayer business VPN om je verbindingen te helpen beschermen, train je werknemers regelmatig in de beste cyberbeveiligingspraktijken en implementeer interne beveiligingsfuncties om de kans op een cyberaanval te minimaliseren.
Methode
NordVPN werkte samen met onafhankelijke experts die de dataset hebben samengesteld van Telegram-kanalen waar hackers adverteren welke gestolen informatie te koop is. De experts analyseerden of de cookies actief of inactief waren, welke malware werd gebruikt om ze te stelen, uit welk land ze kwamen en welke gegevens ze bevatten – het bedrijf dat de cookie heeft gegenereerd, het besturingssysteem van de gebruiker en de trefwoorden die aan de gebruikers zijn toegewezen.
Let op: Noch NordVPN noch haar onderzoekspartners hebben de gestolen cookies gekocht of de inhoud van de cookies bekeken. Onze partners hebben alleen de gegevens geanalyseerd die beschikbaar waren in de verkoopinformatie van de cookies. Bij het opstellen van dit onderzoeksrapport hebben we er zeer goed op gelet dat we de privacy of veiligheid van internetgebruikers niet schonden.
Persmateriaal
Op zoek naar materiaal om ons onderzoek te helpen rapporteren? Kijk niet verder.
Wil je meer weten over ons digitale leven? Bekijk onze andere onderzoeken!
Mobiele privacy: wat willen je apps weten?
Je Android- en iOS-apps hebben machtigingen nodig om te kunnen functioneren, maar hoeveel informatie is te veel? We hebben meer dan honderd populaire apps over de hele wereld beoordeeld om te zien hoeveel ze echt over je willen (en moeten) weten.
Welzijn en persoonlijke informatie: de verborgen kosten van gezondheidsapps
Gezondheidsapps kunnen ons helpen gemoedsrust te bereiken en onze lichamelijke gezondheid te herstellen. Maar welke rol speelt gezondheidstechnologie in ons digitale welzijn? We hebben 12.726 gebruikers wereldwijd ondervraagd om het gebruik van gezondheidsapps te onderzoeken en de mate waarin gebruikers daarvoor betalen met hun privacy.
Topje van de ijsberg: 6 miljoen gestolen kaarten geanalyseerd
Elke dag worden er duizenden gestolen creditcards gekocht en verkocht. Om de risico’s van creditcarddiefstal te begrijpen, analyseerden onderzoekers een dataset van 6 miljoen creditcards die beschikbaar zijn op grote dark web-marktplaatsen – slechts het topje van de ijsberg van creditcarddiefstal wereldwijd.