Klissete fingre i kakeboksen: Forskning avslører risikoen ved nettbaserte informasjonskapsler

En bit av internett småkaker

Du har sett popup-vinduene. De er på nesten alle nettsteder du besøker. Nettinformasjonskapsler, eller rett og slett informasjonskapsler, har blitt en så grunnleggende del av nettleserrutinen vår at vi knapt tenker oss om to ganger før vi klikker på “Godta alle”.

Cookies er små tekstfiler som lagres på enheten din av nettsteder du besøker. De inneholder informasjon om nettleseraktiviteten og preferansene dine, og hjelper nettsteder med å huske detaljer mellom økter. Informasjonskapsler gjør nettleseropplevelsen mer praktisk og personlig. De kan for eksempel holde deg innlogget eller huske hva som er i handlekurven din, selv om du forlater nettstedet og kommer tilbake senere. Informasjonskapsler kan imidlertid også spore aktiviteten din for reklameformål, og det er derfor noen bekymrer seg for personvernet sitt. 

Som kaker i et bakeri, finnes internettkaker også i mange skamsvarianter: 

• Førsteparts informasjonskapsler opprettes og lagres av nettstedet du besøker for øyeblikket. De brukes til å huske påloggingsinformasjon, brukerpreferanser og innstillinger på det spesifikke nettstedet. Når du for eksempel logger deg på et nettsted, kan førsteparts informasjonskapsler lagre brukernavnet ditt, slik at du ikke trenger å skrive det inn på nytt ved neste besøk. Førsteparts informasjonskapsler blir vanligvis sett på som mindre påtrengende, men de kan fortsatt utgjøre en alvorlig risiko, spesielt når de lagrer sensitive data som økt-ID-er eller pålogginger som, hvis de blir stjålet, kan gi angripere tilgang til personlige kontoer eller til og med bedriftsnettverk. 
• Tredjeparts informasjonskapsler lagres på enheten din av et annet nettsted og ikke det du besøker. For eksempel kan annonsører eller analyseleverandører sette disse informasjonskapslene for målrettet annonsering og atferdssporing. Tredjeparts informasjonskapsler sporer aktiviteten din på tvers av forskjellige nettsteder, for eksempel hvilke lenker du klikker på og hvilke produkter du ser på.
• Superinformasjonskapsler er sporingsmekanismer som er mye vanskeligere å oppdage og fjerne. I motsetning til vanlige informasjonskapsler som lagres i nettleseren din og enkelt kan slettes, skjuler disse seg på mer lumske steder, som lokal Flash-algring eller lokal HTML5-lagring, eller bruker til og med teknikker som ETags eller HSTS for å holde seg der. Noen superinformasjonskapsler legges til og med av internettleverandører som plasserer spesielle identifikatorer i internettrafikken din for å spore deg på tvers av hvert nettsted du besøker. Fordi de lagres på uvanlige steder eller legges til gjennom manipulasjon på nettverkslaget, kan superinformasjonskapsler dukke opp igjen selv etter at du sletter informasjonskapsler i en nettleser, noe som gjør dem til en alvorlig sikkerhetsrisiko. 
• Zombie informasjonskapsler “kommer tilbake fra de døde” selv etter at du har slettet dem. De gjenskapes ofte automatisk ved hjelp av sikkerhetskopier lagret utenfor vanlig informasjonskapsellagring, noe som gjør zombie cookies nesten umulige å fjerne og en alvorlig personverntrussel. 

Forskningen avslører den ikke fullt så søte siden av nettbaserte informasjonskapsler

De fleste informasjonskapsler er ufarlige, men i gale hender kan selv den minste smule avsløre et helt digitalt spor. Å akseptere nettinformasjonskapsler blindt kan derfor være en risikabel vane. Vår nyeste forskning avslører hvor risikabelt det faktisk er. Som en oppfølging av fjorårets forskning på nettinformasjonskapsler, samarbeidet vi med NordStellar, en plattform for håndtering av cyber-trusler, som analyserte et nytt datasett bestående av over 93,7 milliarder informasjonskapsler som ble tilbudt for salg på mørke nettfora og Telegram-markedsplasser. Forskerne undersøkte hvor de kom fra, hva de inneholdt, om de fortsatt var aktive, og hvordan nettkriminelle bruker dem.

Det er viktig å merke seg at verken NordVPN eller forskningspartnerne deres kjøpte de stjålne informasjonskapslene og/eller fikk tilgang til innholdet i dem. Partnerne våre analyserte kun dataene som var tilgjengelige i salgsannonsene for informasjonskapsler, og sørget for å ivareta personvernet og sikkerheten til internettbrukerne mens vi produserte denne forskningsrapporten.

Hvordan nettkapsler blir stjålet

Nettkriminelle trenger ikke en ovn for å steke informasjonskapslene. De stjeler dem ved hjelp av skadelig programvare. I vår studie fant forskerne at nesten alle ble høstet av infotyvere, trojanere og keyloggere. Disse kategoriene av skadelig programvare er spesielt utviklet for å samle inn innloggingsdata, informasjonskapsler, lagrede nettleserpassord og kryptolommebøker. Her er noen av de vanligste verktøyene bak de stjålne nettinformasjonskapslene i vår forskning:

• Redline er en av de mest brukte keyloggerne og infostealerne, annonsert som malware as a service. Redline Stealer er ansvarlig for den største andelen stjålne informasjonskapsler i datasettet vårt – nesten 42 milliarder informasjonskapsler. Imidlertid var bare 6,2 % fortsatt aktive, noe som betyr at levetiden til stjålne data er relativt kort.
• Vidar er også en malware as a service med spesifikke konfigurasjoner designet for å målrette spesifikke typer data. Den samlet inn rundt 10,5 milliarder informasjonskapsler, hvorav 7,2 % fortsatt var gyldige.
• LummaC2 er en malware løsning som tilbys som en tjeneste til nettkriminelle. Den er nyere, men vokser raskt i bruk. Den var ansvarlig for over 8,8 milliarder stjålne informasjonskapsler, hvorav 6,5 % fortsatt var aktive.
• CryptBot er en infostealer som hovedsakelig retter seg mot Windows-operativsystemer. Selv om den bare sto for 1,4 milliarder informasjonskapsler, var 83,4 % av dem fortsatt aktive, noe som gjør CryptBot til den mest effektive malwaren på listen vår.

Disse malware-verktøyene er enkle å bruke og allment tilgjengelige, noe som gjør dem tilgjengelige for nesten alle. De gjemmer seg ofte i piratkopiert programvare eller tilsynelatende harmløse nedlastinger. Når de er installert, skanner de nettleserens informasjonskapsellagring og sender alt til en kommando- og kontrollserver. Derfra kan dataene bli listet opp på det mørke nettet, noen ganger i løpet av minutter.

Hva er inni kakeboksen?

Så hva inneholder egentlig disse informasjonskapslene? Massevis. Når nettkriminelle selger stjålne informasjonskapsler, merker de dem ofte med nøkkelord for å vise hva slags data de inneholder. Noen av de vanligste nøkkelordene var «ID» (18 milliarder), etterfulgt av «økt» (1,2 milliarder). Et betydelig antall stjålne informasjonskapsler var merket med nøkkelordene «auth» (272,9 millioner) og «login» (61,2 millioner). Disse taggene antyder at informasjonskapslene er knyttet til bestemte brukerkontoer, noe som betyr at de kan brukes om igjen for å kapre live-økter uten passord. Det er spesielt bekymringsfullt med tanke på at av de 93,7 milliarder stjålne informasjonskapslene som ble analysert, var 15,6 milliarder fortsatt aktive.

Men det er ikke bare kontotilgang som står på spill. Noen av disse informasjonskapslene inneholder også personlig informasjon, som brukerens navn, e-postadresse, land og by, samt kjønn, fødselsdato eller til og med fysisk adresse. Disse opplysningene er like farlige fordi de kan tillate trusselaktører å bygge personlige social engineering angrep, i verste fall stjele brukernes identiteter. Og når detaljer som posisjon eller fødselsdato er der ute, er det ikke bare en personvernrisiko, men også en personlig sikkerhetstrussel.

Hvor kommer informasjonskapslene fra?

Forskerne så også nærmere på hvor de stjålne informasjonskapslene kom fra ved å analysere tre hovedfaktorer: plattformen de ble skrapet fra, opprinnelseslandet og operativsystemet.

Plattformer

På plattformsiden dominerer store navn – ikke overraskende. Informasjonskapsler knyttet til Google-tjenester utgjorde den største delen av datasettet – mer enn 4,5 milliarder informasjonskapsler knyttet til Gmail, Google Drive og andre Google-tjenester. YouTube og Microsoft sto hver for over 1 milliard informasjonskapsler.

Populære plattformer er attraktive mål fordi man kan skrape mer informasjon fra dem. I tillegg brukes Google- og Microsoft-kontoer ofte til flerfaktorautentisering. Å stjele en Google- eller Microsoft-øktinformasjonskapsel kan gi nettkriminelle tilgang til e-post, filer, kalendere og til og med tilknyttede kontoer – uten behov for å gjette passord eller utløse tofaktorautentisering.

Land

Informasjonskapsler kan bli stjålet over hele verden, og tallene viser det. Selv om mange av de stjålne informasjonskapslene ikke inkluderte data om brukerens land, var de som gjorde det, knyttet til minst 253 forskjellige land og territorier. Noen informasjonskapsellister var merket som «ukjent», så det sanne tallet kan være enda høyere.

Brasil, India, Indonesia og USA var mest berørt. I Europa ledet Spania listen med 1,75 milliarder stjålne informasjonskapsler, mens Storbritannia hadde en høy andel aktive informasjonskapsler på 8,3 %, til tross for bare rundt 800 millioner informasjonskapsler. I Norge avdekket forskningen 95,2 millioner stjålne informasjonskapsler, hvorav 7,33 % fortsatt var aktive informasjonskapsler.

Enheter

De fleste informasjonskapslene ble skrapet fra Windows-enheter, noe som ikke er overraskende, siden mesteparten av skadelig programvare er rettet mot Windows. Imidlertid ble over 13,2 milliarder informasjonskapsler skrapet fra andre operativsystemer, eller kilden deres er ukjent. Så selv om Windows-brukere fortsatt er de største målene, bør ikke brukere på andre systemer føle seg helt trygge – angrep på andre plattformer skjer.

Hva kan hackere gjøre med nettkapslene dine?

Cookies kan høres søte ut, men noen ganger kan de etterlate en dårlig smak. Sannheten er at selv de mest tilsynelatende uviktige informasjonskapslene kan gjøre mye skade på deg eller bedriften din. Når én dør er åpen, er det ikke så vanskelig å åpne andre. Øktinformasjonskapsler – spesielt aktive – er en gullgruve. De lar angripere hoppe over innloggingssider helt. Men risikoen stopper ikke der. Stjålne informasjonskapsler kan også brukes til å:

• Ta kontroll over kontoene dine for sosiale medier, e-post eller netthandel.
• Utgi deg for å være deg selv på nettet ved å bruke lagrede pålogginger eller autofyllinformasjon.
• Omgå tofaktorautentisering hvis informasjonskapselen markerer en «pålitelig» enhet.
• Start målrettede phishing-angrep med din personlige informasjon.
• Beveg deg sidelengs over nettverket, spesielt i selskaper som bruker informasjonskapselbasert SSO (enkeltpålogging).
• Få tilgang til økonomiske data eller kundedata og annen sensitiv informasjon.
• Bidra til å distribuere ransomware angrep ved å stjele påloggingsinformasjon eller få tilgang til systemtillatelser på høyere nivå.

Slik låser du kakeboksen

Å beskytte deg mot tyveri av informasjonskapsler betyr ikke at du må gi opp internett helt, men det krever at du endrer noen vaner:

• Tenk deg om to ganger før du godtar informasjonskapslene. Det første skrittet mot å gjøre deg selv tryggere er å forstå at ikke alle informasjonskapsler er nødvendige. Bare fordi du kan godta alle informasjonskapsler, betyr ikke det at du må. Når det er mulig, avvis unødvendige informasjonskapsler – spesielt tredjepartsinformasjonskapsler eller de som sporer atferden din. De fleste nettsteder fungerer fortsatt fint uten dem.
• Skaff deg ekstra sikkerhetsverktøy. Skadelig programvare, inkludert informasjonstyveri, kommer ofte inn i datamaskinen din via nedlastinger eller phishing-lenker. Verktøy som Threat Protection Pro™ kan blokkere ondsinnede nettsteder og skanne nedlastinger for skadelig programvare før de kommer inn i datamaskinen din.
• Tøm informasjonskapslene dine regelmessig. Ikke alle informasjonskapsler er verdt å beholde – kast de gamle. Gjør det til en vane, spesielt etter innlogging på offentlige eller delte datamaskiner. Dette trinnet kan virke lite, men det bidrar til å redusere tidsvinduet der dataene dine kan bli kapret.

Bruk en tryggere tilkobling. Start med å unngå offentlige Wi-Fi-nettverk eller ukrypterte tilkoblinger. Skaff deg et VPN som krypterer internettrafikken din, noe som gjør den sikrere mot avlytting.