Caindo na armadilha: pesquisa revela os riscos dos cookies da web

Uma mordida nos cookies

Você já viu os pop-ups. Eles estão em quase todos os sites que você visita. Cookies da web, ou simplesmente cookies, já são parte fundamental da nossa rotina de navegação e raramente pensamos duas vezes antes de clicar em ‘’Aceitar tudo’’.

Os cookies são pequenos arquivos de texto que ficam armazenados no seu dispositivo, baixados dos sites que você visita. Eles contém informações sobre suas atividades de navegação e suas preferências, além de ajudar os sites a se lembrar de detalhes entre as sessões. Eles tornam a experiência de navegação mais conveniente e personalizada. Por exemplo, eles podem manter seu acesso e memorizar os itens que você colocou no carrinho de compras mesmo que você saia do site e volte depois. Mas os cookies também podem rastrear suas atividades para propósitos de publicidade, e é por isso que algumas pessoas se preocupam com sua privacidade.

Assim como os biscoitos vendidos em uma padaria, os cookies podem ter vários sabores:

• Cookies próprios (first-party) são criados e armazenados pelo próprio site que você visita. Eles são usados para memorizar credenciais de login, preferências dos usuários e as configurações do site específico. Por exemplo, quando você entra em um site, os cookies próprios podem armazenar seu nome de usuário para você não precisar digitar tudo novamente quando acessar o site de novo. Cookies first-party geralmente são vistos como menos intrusivos, mas ainda apresentam sérios riscos, principalmente quando armazenam dados sensíveis como dados pessoais e informações de login que, caso roubadas, podem dar aos cibercriminosos acesso às contas pessoais ou até mesmo redes corporativas.
• Cookies de terceiros (third-party) são cookies armazenados no seu dispositivo por outro site e não pelo site que você está visitando. Por exemplo, anunciantes ou provedores de analytics podem configurar esses cookies para publicidade direcionada e rastreamento comportamental dos usuários. Cookies de terceiros podem rastrear suas atividades através de diferentes sites, como aqueles com links nos quais você clica e os produtos que você vê.
• Super cookies são mecanismos de rastreamento que são muito mais difíceis de detectar e remover. Diferente dos cookies normais, que ficam armazenados no seu navegador e que podem ser facilmente removidos, esses aqui são mais insidiosos e podem se esconder em pontos mais ocultos, como a pasta de armazenamento do Flash ou o armazenamento local do HTML5, ou até mesmo usar técnicas como ETags ou HSTS para se fixar. Alguns super cookies são até mesmo adicionados pelos próprios provedores de internet, que colocam identificadores especiais no seu tráfego de internet para rastrear cada site que você visita. Como eles são armazenados em locais incomuns ou adicionados através de manipulação de camadas de rede, os super cookies podem reaparecer até mesmo depois que você limpar os cookies no navegador, o que os torna um risco de segurança ainda mais sério.
• Cookies zumbi são os cookies que ‘’voltam dos mortos’’, ou seja, que retornam mesmo depois de você eliminá-los. Muitas vezes, eles são recriados automaticamente usando cópias de backup armazenadas fora do método normal de armazenamento de cookies, o que faz dos cookies zumbi quase impossíveis de remover e uma ameaça séria à privacidade.

Pesquisa revela o lado amargo dos cookies da web

A maioria dos cookies são inofensivos. Mas, nas mãos erradas, até mesmo os cookies mais simples podem revelar inúmeras pistas digitais. Então, aceitar cookies da web sem nenhum critério pode ser um hábito bem perigoso. Nossa pesquisa mais recente revela o quanto isso é arriscado. Como uma continuação da pesquisa sobre cookies da web do ano passado, nós fizemos uma parceria com pesquisadores independentes de novo para que eles pudessem analisar outro conjunto de 93.7 bilhões de cookies colocados à venda em fóruns da dark web e marketplaces do Telegram. Os pesquisadores olharam de onde esses cookies vieram, o que eles tinham, se estavam ativos e como os cibercriminosos os usavam.

É importante notar que nem a NordVPN nem os pesquisadores parceiros adquiriram quaisquer cookies roubados nem acessaram o conteúdo deles. Nossos parceiros apenas analisaram os dados que estavam disponíveis na lista de venda dos cookies, garantindo a manutenção da privacidade e a segurança dos usuários durante a produção deste estudo.

Como os cookies da web são roubados

Os cibercriminosos não precisam se esforçar muito. Eles conseguem roubá-los usando malware. Na nossa pesquisa, os pesquisadores descobriram que quase todos os cookies foram coletados por infostealers, trojans e keyloggers. Essas categorias de malware são projetadas especificamente para coletar dados de login, cookies, senhas salvas no navegador e informações de carteiras de criptomoedas. Aqui estão algumas das ferramentas por trás dos cookies da web roubados que descobrimos na pesquisa:

• Redline, um dos keyloggers e infostealers mais usados, divulgado como um malware as a service (malware como serviço). O Redline Stealer é responsável pela maior parte dos cookies roubados encontrados no nosso conjunto de dados, somando quase 42 bilhões de cookies. Contudo, apenas 6.2% ainda estavam ativos, o que significa que a vida útil dos dados roubados é relativamente curta.
• Vidar, que também é um malware como serviço com configurações específicas projetadas para roubar tipos específicos de dados. Ele coletou cerca de 10.5 bilhões de cookies com 7.2% deles ainda válidos.
• LummaC2, um stealer oferecido como serviço para cibercriminosos. Ele é uma ameaça nova, mas que já vem crescendo bem rápido. Ele foi responsável por 8.8 bilhões de cookies roubados com 6.5% deles ainda ativos.
• CryptBot, um infostealer criado principalmente para atacar sistemas operacionais Windows. Apesar de ser responsável pelo roubo de apenas 1.4 bilhão de cookies entre os mais de 90 bilhões de cookies analisados na pesquisa, 83.4% deles ainda estavam ativos, o que faz do CryptBot o malware com maior taxa de eficácia da nossa lista.

Essas ferramentas de malware são fáceis de usar e amplamente disponibilizadas, o que faz delas acessíveis para praticamente qualquer pessoa. Muitas vezes, elas se escondem em programas piratas ou downloads aparentemente inofensivos. Depois de instalados, eles podem verificar o armazenamento do navegador e enviar tudo para um servidor de command-and-control (comando e controle). A partir desse servidor, os dados podem ser listados na dark web e vendidos, algumas vezes dentro de poucos minutos.

O que tem dentro do pote de biscoitos?

Então, o que esses cookies realmente têm? Eles têm muita coisa. Quando os cibercriminosos vendem cookies roubados, eles muitas vezes os marcam com palavras-chave para mostrar qual tipo de dado eles estão obtendo. Algumas das palavras-chave mais comuns são ‘’ID’’ (18 bilhões) e ‘’sessão’’ (1.2 bilhão), além de ‘’auth’’ (272.9 milhões) e ‘’login’’ (61.2 milhões). Essas tags sugerem que os cookies são vinculados a contas específicas de usuários, o que significa que elas podem ser reutilizadas para roubar sessões sem a necessidade de usar senhas, o que é especialmente preocupante se levarmos em consideração que, dos 93.7 bilhões de dados roubados analisados, 15.6 bilhões ainda estavam ativos.

Mas não são só os acessos às contas que estão em jogo. Alguns desses cookies também contém informações pessoais como nomes de usuário, endereços de e-mail, país e cidade, assim como gênero, data de nascimento ou até mesmo endereços residenciais. Esses detalhes são perigosos na medida em que podem ser usados por agentes nocivos, como cibercriminosos que realizam ataques de engenharia social que, nos piores casos, roubam as identidades dos usuários. E, quando esses detalhes mostram suas informações de endereço ou data de aniversário e são comercializados por aí, isso não é só um risco para a sua privacidade, mas também um risco para a sua segurança física.

De onde os cookies vêm?

Os pesquisadores também deram uma olhada mais de perto sobre a origem dos cookies roubados ao analisar três principais fatores: a plataforma da qual eles foram roubados, o país de origem e o sistema operacional.

Plataformas

Em relação às plataformas, grandes empresas estão no topo da lista, sem causar nenhuma surpresa. Os cookies associados à Google formam a maior parte do conjunto de dados analisados, somando mais de 4.5 bilhões de cookies conectados ao Gmail, Google Drive e outros serviços da Google. O YouTube e a Microsoft contam com 1 bilhão de cookies cada.

Plataformas populares são o alvo principal dos cibercriminosos porque dá para pegar mais informações delas. Além disso, contas da Google e da Microsoft geralmente são usadas para autenticação multifatorial. Roubar um cookie de sessão da Google ou Microsoft pode dar aos cibercriminosos acesso a e-mails, arquivos, calendários e até mesmo todas as contas associadas, sem precisar ter que adivinhar senhas ou passar por processos de autenticação de dois fatores.

Países

Os cookies podem ser roubados no mundo todo e os números mostram isso. Apesar de muitos dos cookies roubados não incluírem informações sobre o país do usuário, essas informações ainda podem ser vinculadas a ao menos 253 países e territórios diferentes. Algumas listas de cookies são marcadas como ‘’desconhecidas’’, então o número real pode ser ainda maior.

Brasil, Índia, Indonésia e Estados Unidos estão entre os países mais impactados pelo roubo de cookies. Na Europa, a Espanha está no primeiro lugar com 1.75 bilhão de cookies roubados, enquanto o Reino Unido, apesar de contar com apenas quase 800 milhões de cookies, conta com uma taxa alta de cookies ativos, chegando a 8.3%.

Dispositivos

A maioria dos cookies foram obtidos de dispositivos com sistemas Windows, o que não é nenhuma surpresa, já que a maioria dos tipos de malware são voltados para esses sistemas. Contudo, mais de 13.2 bilhões de cookies foram removidos de outros sistemas operacionais, muitas vezes com fontes desconhecidas. Então, enquanto os usuários de Windows ainda formam os principais alvos, os usuários de outros sistemas não devem se sentir totalmente a salvo, já que os ataques em outros sistemas também acontecem.

O que um cibercriminoso pode fazer com seus cookies da web?

Cookies podem ser doces, mas também podem ser bem amargos. A verdade é que até mesmo os cookies aparentemente mais irrelevantes podem causar muitos danos para as pessoas e as empresas. Depois que uma porta fica aberta, não é difícil abrir outras portas. Cookies de sessão, especialmente os cookies ativos, são uma mina de ouro. Eles permitem aos cibercriminosos ignorar páginas de login, por exemplo. Mas os riscos não param por aí. Os cookies roubados também podem ser usados para:

• Roubar suas mídias sociais, seu e-mail ou contas de compras online.
• Roubar sua identidade online e permitir que os cibercriminosos se passem por você online, usando informações de login salvas ou informações preenchidas automaticamente.
• Ignorar processos de autenticação de dois fatores se os cookies marcarem um dispositivo como ‘’confiável’’.
• Lançar ataques de phishing direcionados usando suas informações pessoais.
• Movimentar-se lateralmente pela rede, especialmente em empresas que usam SSO (single sign-on, ou login único) com base em cookies.
• Acessar dados financeiros ou de consumidores e outras informações sensíveis.

Ajudar a lançar ataques de ransomware ao roubar credenciais de login ou acessar permissões de sistema de alto nível.

Como trancar o pote de biscoitos

Garantir sua proteção contra o roubo de cookies não significa que você precisa abandonar a internet, mas exige mudar alguns hábitos

• Pense duas vezes antes de aceitar cookies. O primeiro passo para melhorar sua segurança é entender que nem todos os cookies são necessários e não é só porque você pode aceitar todos eles que essa seja a melhor opção. Sempre que possível, você deve rejeitar os cookies desnecessários, principalmente os cookies de terceiros ou aqueles que rastreiam seus comportamentos online. A maioria dos sites ainda funciona muito bem sem eles.
• Tenha ferramentas de segurança adicionais. Malware, incluindo infostealers, muitas vezes invade seu computador através de downloads ou links de phishing. Ferramentas como a Proteção Contra Ameaças Pro™ podem bloquear sites maliciosos e verificar os downloads para identificar malware antes que eles infectem seu dispositivo.
• Limpe seus cookies regularmente. Nem todos os cookies precisam ser guardados. Então, é bom se livrar daqueles que são desnecessários. Faça disso um hábito, principalmente depois de logar em computadores públicos ou compartilhados. Esse passo pode parecer simples, mas ajuda a reduzir a janela de tempo pela qual seus dados podem ser sequestrados.
• Use uma conexão mais segura. Comece evitando redes públicas de Wi-Fi ou conexões que não são criptografadas. Assine uma VPN para criptografar seu tráfego de internet e torná-lo mais protegido contra olhares indesejáveis.