·
Cookie do infortúnio? Bilhões de cookies roubados expõem seus dados
"Usamos cookies para oferecer a melhor experiência online. Eles podem ser roubados e usados em um ciberataque. Você concorda?"
Os pesquisadores analisaram um conjunto de dados de 54 bilhões de cookies e seus anúncios para venda disponíveis na Dark Web para descobrir como eles foram roubados, quais riscos de segurança e privacidade eles representam e quais tipos de informações eles contêm. Este estudo pretende esclarecer como os usuários da Internet colocam em risco contas, dinheiro e informações privadas simplesmente aceitando cookies sem pensar.
O bom, o ruim e o necessário: os diferentes tipos de cookies da Internet
Os cookies são parte integrante de como a Internet funciona hoje. Basicamente, eles são pequenos arquivos de texto que um site armazena no seu dispositivo. Mas, se começar a pesquisar sobre eles, verá que há muito mais para descobrir. Vamos analisar os tipos mais comuns de cookies e seus riscos.
Os cookies primários são criados e armazenados pelo site que você está visitando. Eles lembram suas informações de login, personalizam o conteúdo do site e armazenam suas preferências, ou seja, são considerados essenciais para a funcionalidade básica do site e a conveniência do usuário.
Embora sejam geralmente menos intrusivos do que os cookies de terceiros, os cookies primários podem representar sérios riscos de segurança. Não são apenas os dados pessoais armazenados neles que estão em risco. Os cookies mantêm você conectado a sites, contas e serviços, portanto, dados de autenticação significativos também estão em jogo. De IDs de sessão a identificadores de usuário, os cookies podem conter tudo isso. Se alguém conseguir acesso a esses cookies, pode usá-los para reabrir sessões e obter acesso a informações mais confidenciais das suas outras contas de sistemas corporativos.
Clique com atenção: como os cookies são roubados?
Muitos cibercriminosos desejam roubar, vender ou usar cookies e as informações que eles contêm em outros ataques. Como eles conseguem acessar os cookies de milhões de usuários da Internet? Principalmente por meio de malwares: ladrões de informações, cavalos de Troia e keyloggers. Estes são os tipos de malwares mais comuns que encontramos durante nosso estudo:
Aurora
Um ladrão de informações que muda de forma, fingindo ser um aplicativo legítimo preenchido com zeros para evitar a detecção por antivírus.
Azorult
Um ladrão de informações capaz de roubar nomes de usuário e senhas, detalhes do cartão de crédito e carteiras de criptomoedas, além de baixar outros malwares.
Cryptbot
Um ladrão de informações que tem como alvo os sistemas operacionais Windows, projetado para roubar senhas de contas salvas em navegadores, cookies, informações de pagamento e carteiras de criptomoedas.
Dark-crystal-rat
Um cavalo de Troia de acesso remoto que permite que os cibercriminosos controlem o dispositivo infectado remotamente. Ele pode ser adaptado para vários fins diferentes.
MetaStealer
Disponível em forma de assinatura por US$ 125/mês ou por US$ 1.000 para acesso vitalício, esse malware como serviço tem como alvo carteiras de criptomoedas e senhas.
Mystic
Malwares que têm como alvo uma ampla gama de navegadores e extensões para roubar informações, usando chamadas de sistema e outras técnicas para evitar a detecção.
Pennywise
Um ladrão de informações que usa o YouTube para se disseminar. Seu multithreading eficiente ajuda a roubar diferentes tipos de dados.
Predator-the-thief
Este malware, que foi atualizado com funcionalidades extras antianálise para ajudar a evitar a detecção, está disponível por apenas US$ 150. Um módulo para carteiras de criptomoedas está disponível por mais US$ 100.
Raccoon
Malware como serviço com suporte técnico. É menos furtivo porque envia dados à medida que são coletados e não possui técnicas de ofuscação, mas é popular e bastante eficaz.
Redline
Um keylogger e ladrão de informações anunciado como malware como serviço por US$ 100/mês. Inclui módulos para personalização e funcionalidades extras, como baixar outros malwares.
Taurus
Malwares que se espalham por meio de malvertising e spam para enganar os usuários a baixá-los por conta própria. Ele usa ofuscação para evitar a detecção.
Vidar
Malware como serviço que coleta dados do sistema operacional e do usuário com configurações específicas projetadas para atingir tipos específicos de dados.
As descobertas: uma verdade difícil de digerir
Os pesquisadores analisaram uma coleção de 54 bilhões (54.008.833.188) de cookies disponíveis nos mercados da Dark Web. Dezessete por cento deles estavam ativos, o que equivale a mais de 9 bilhões de cookies. Os cookies ativos apresentam um risco maior porque são atualizados ativamente e em tempo real à medida que o usuário navega na Internet. No entanto, os cookies inativos, mesmo que atualizados há muito tempo, também podem conter informações relacionadas ao usuário e até mesmo ser usados para novos ataques e manipulações.
Mais da metade dos cookies ativos e inativos foram roubados usando o Redline. No entanto, uma taxa mais alta de cookies ativos foi roubada por meio dos malwares Predator-the-lief, Cryptbot, MetaStealer e Taurus (57%, 51%, 48% e 44%, respectivamente). A natureza do malware usado destaca o fato de que cibercriminosos experientes e iniciantes que usam malwares como serviço roubaram dados para vendê-los online.
De quem são esses cookies?
Plataformas
Mais de 5% de todos os cookies do conjunto de dados eram do Google, 1,3% do YouTube, mais de 1% da Microsoft e outros 1% do Bing.
O fato desses cookies estarem à venda apresenta um grande risco para seus proprietários: os cookies são de contas de e-mail principais que podem ser usadas para acessar outras informações de login. Essas porcentagens podem parecer minúsculas, mas vale a pena notar que 1% do conjunto total de dados ainda significa mais de 500 milhões de cookies, uma quantidade enorme de dados de usuários.
*A NordVPN não é endossada, mantida, patrocinada, afiliada ou de qualquer forma associada aos proprietários das plataformas mencionadas. As plataformas são indicadas exclusivamente com a finalidade de relatar com precisão as informações relacionadas aos cookies disponíveis nos mercados da Dark Web.
Dispositivos
Quase todos os 54 bilhões de cookies foram extraídos de dispositivos com Windows (devido à natureza do malware). No entanto, havia mais de 31,5 milhões de cookies da Apple no conjunto de dados. Isso mostra falhas no sistema, pois os usuários entram nas suas contas em diferentes dispositivos e plataformas.
Os cookies do conjunto de dados tinham rótulos para mais de 4.500 sistemas operacionais diferentes. Isso acontece devido à natureza específica do sistema operacional executado em diferentes dispositivos, e muitos dos rótulos pareciam ter um nome específico de dispositivo e modelo, em vez de um sistema operacional separado. Isso destaca o nível de detalhes armazenados nos cookies que podem ser usados para reidentificar os indivíduos.
O sistema operacional mais comum era o Windows 10 Enterprise (mais de 16 bilhões e 30% do total), mostrando o risco maior de as empresas serem hackeadas.
*A NordVPN não é endossada, mantida, patrocinada, afiliada ou de qualquer forma associada aos proprietários das marcas mencionadas. As marcas são indicadas exclusivamente com a finalidade de relatar com precisão as informações relacionadas aos cookies disponíveis nos mercados da Dark Web.
Países
Metade dos cookies não continha dados do país, embora 95% estivessem inativos. Dos que tinham dados sobre o país do usuário, os mais comuns foram Brasil, Índia, Indonésia, Estados Unidos e Vietnã. Se olharmos especificamente para a Europa, a maioria dos cookies veio da Espanha: 554 milhões. Já o Reino Unido ficou em 120º lugar em número de cookies, e mais da metade deles estava ativa. Em geral, usuários de 244 países e territórios foram representados no conjunto de dados, o que mostra o amplo alcance dos hackers e recursos avançados de malwares.
O que tem no pote de cookies?
Os vendedores atribuíram determinadas palavras-chave aos cookies nos seus anúncios para que os compradores em potencial pudessem ver quais dados encontrariam nos cookies. As palavras-chave mais comuns associadas aos cookies foram "ID atribuído" (10,5 bilhões), seguidas por "ID da sessão" (739 milhões), e ambas podem ser ligadas a usuários específicos. Depois, vieram 154 milhões de ocorrências da palavra-chave "autenticação" (15% ativos) e 37 milhões de "login" (18% ativos). As duas últimas são particularmente perigosas: muitos ainda estão ativos, o que significa que alguém pode usar esses cookies para entrar nas contas das pessoas.
Quando se trata de informações pessoais, os cookies armazenavam principalmente o nome, o endereço de e-mail, a cidade, a senha e o endereço físico do usuário. Uma cidade específica foi incluída em 9 milhões de cookies, enquanto mais de 2 milhões continham até mesmo o endereço específico do usuário. A orientação sexual, embora menos frequente, ainda apareceu 500 mil vezes no conjunto de dados, com uma taxa mais alta de cookies ativos (26%). Isso cria um risco adicional para os membros da comunidade LGBTQ+, já que, em alguns países, ter sua orientação sexual exposta pode levar a consequências graves.
Um cibercriminoso pode usar os cookies ativos para entrar na conta pessoal de alguém. As informações encontradas lá, juntamente com os dados dos próprios arquivos dos cookies, permitiriam criar portfólios detalhados de usuários e realizar ciberataques contra pessoas e seus locais de trabalho.
Os riscos ocultos: cuidado com o monstro dos cookies
Embora os cookies da Internet possam parecer uma tecnologia inócua para alguns, 54 bilhões deles à venda na Dark Web são um grande risco para indivíduos e empresas. As informações que armazenam podem alimentar ataques massivos online e na vida real.
O que pode acontecer se os cookies dos seus dispositivos forem roubados?
Se um hacker conseguir acesso a uma coleção de cookies de várias plataformas e serviços, poderá usá-los para várias atividades mal-intencionadas:
Se alguém tiver cookies que contenham identificadores das suas sessões, podem se passar por você online e obter acesso não autorizado às suas contas sem sequer adivinhar ou roubar sua senha. Suas contas de redes sociais, e-mails e sites de compras online podem estar em risco.
Alguns cookies podem dar a um invasor acesso a tantas informações pessoais que elas podem ser usadas para roubo de identidade. Se conseguirem entrar em uma conta com seu nome, endereço, número de telefone e detalhes de pagamento, tudo poderá ser usado para cometer fraudes ou outros crimes em seu nome.
Os cookies são usados para rastrear seus hábitos e preferências de navegação. Alguém com acesso a essas informações pode usá-las com outras informações que tenha sobre você para realizar ataques de phishing direcionados. Se o conjunto de dados for grande o suficiente, podem vendê-lo para terceiros interessados em publicidade direcionada.
Alguns sites usam cookies para lembrar dispositivos ou endereços de IP que passaram com sucesso na autenticação de dois fatores ou em outras verificações de segurança. Com os cookies de sessão que contêm seus dados, alguém pode contornar essas medidas de segurança e acessar suas contas protegidas com mais facilidade.
O que pode acontecer com uma empresa se os cookies dos seus dispositivos forem roubados?
Os cookies roubados gerados por colaboradores que usam a Internet podem levar a uma violação enorme, afetando vários aspectos de operações, segurança, reputação e conformidade legal.
Os invasores podem usar cookies para obter acesso a contas comerciais, sistemas internos e bancos de dados. Esse acesso permitiria roubar informações corporativas confidenciais, propriedade intelectual, dados financeiros, registros de colaboradores e informações de clientes. Se conseguirem tomar o controle de um sistema da empresa, os hackers podem bloquear contas corporativas até que um resgate seja pago. Eles também podem iniciar transações ou usar o histórico da empresa para realizar ataques de phishing contra fornecedores e clientes.
Os danos à reputação e legais são outra preocupação. Se dados confidenciais ou regulamentados (como registros médicos) forem vazados, isso pode ter consequências graves para uma empresa, incluindo perda financeira por roubo, custo de remediação, multas por violar as leis de proteção de dados (como o RGDP ou CCPA) e o custo de notificar as partes afetadas. Além disso, as empresas provavelmente teriam que lidar com danos à reputação, confiança prejudicada dos clientes, parceiros e partes interessadas e dificuldade em atrair novos clientes ou parceiros.
Fortaleça suas defesas: como proteger os cookies do seu dispositivo contra hackers
Alguns novos hábitos e a conscientização geral sobre cibersegurança contribuem muito para proteger os cookies relacionados a uma configuração de Internet individual ou comercial:
1. Use uma conexão segura.
Obtenha uma VPN premium e criptografe sua conexão de Internet o tempo todo. Isso não só impedirá que os cookies sejam interceptados durante a transmissão, mas também ajudará a ocultar algumas informações de identificação, como seu endereço de IP, o que pode dificultar a ligar os dados a você.
2. Obtenha um software de segurança adicional.
Alguns provedores de VPN, como a NordVPN, oferecem funcionalidades adicionais de segurança que ajudam você a evitar malwares que roubam cookies. A Proteção Contra Ameaças da NordVPN bloqueia seu acesso a sites perigosos e de phishing e analisa seus arquivos baixados em busca de malwares.
3. Recuse os cookies.
A melhor maneira de evitar o roubo é quando não há nada para roubar. A maioria dos sites pedirá sua permissão para usar certos cookies durante sua sessão, e você pode recusar muitos dos cookies de rastreamento. A Proteção Contra Ameaças da NordVPN ajuda você ainda mais, impedindo que rastreadores de terceiros sigam você pela Internet e coletem seus dados. E, por fim, você pode limpar seus cookies de tempos em tempos para remover dados antigos ou potencialmente comprometidos. Este passo é particularmente importante depois de usar computadores públicos ou compartilhados.
Meus cookies? Não são da sua conta
Quando se trata da segurança dos usuários corporativos, é mais ou menos a mesma coisa. Use a VPN para empresas NordLayer para ajudar a proteger suas conexões, treinar seus colaboradores com frequência nas práticas recomendadas de cibersegurança e implementar funcionalidades de segurança internas para minimizar a probabilidade de um ciberataque.
Método
A NordVPN fez parceria com pesquisadores independentes que compilaram o conjunto de dados de canais do Telegram, onde os hackers anunciam quais informações roubadas estão disponíveis para venda. Os pesquisadores analisaram se os cookies estavam ativos ou inativos, quais malwares foram usados para roubá-los e de que país eles eram, assim como quais dados eles continham: a empresa que gerou o cookie, o sistema operacional do usuário e as categorias de palavras-chave atribuídas aos usuários.
Observação: nem a NordVPN nem seus parceiros de pesquisa compraram os cookies roubados e nem acessaram seu conteúdo. Nossos parceiros apenas analisaram os dados disponíveis nos anúncios de venda de cookies. Fomos muito cuidadosos para não violar nenhuma privacidade ou a segurança dos usuários da Internet durante a produção deste relatório de pesquisa.
Materiais de imprensa
Procurando recursos para ajudar a divulgar nossa pesquisa? Não procure mais.
Quer saber mais sobre nossa vida digital? Confira nossa outra pesquisa!
Privacidade móvel: o que seus aplicativos querem saber?
Seus aplicativos para Android e iOS precisam de permissões do telefone para funcionar, mas qual é a quantidade de dados realmente necessária? Analisamos mais de cem aplicativos populares no mundo todo para ver o quanto eles realmente querem (e precisam) saber sobre você.
Cura ou hackeamento? O custo oculto dos aplicativos de saúde
Os aplicativos de saúde podem nos ajudar a ter tranquilidade e restaurar nossa saúde física. Mas qual é o papel da tecnologia de saúde no nosso bem-estar digital? Fizemos uma pesquisa com 12.726 usuários do mundo todo para examinar o uso de aplicativos de gestão de saúde e a troca que acontece em segundo plano, sem as pessoas perceberem.
Ponta do iceberg: 6 milhões de cartões roubados analisados
Milhares de cartões de crédito roubados são comprados e vendidos todos os dias. Para entender os riscos envolvidos no roubo de cartões de crédito, os pesquisadores analisaram um conjunto de dados de 6 milhões de cartões de crédito disponíveis nos principais mercados da Dark Web, e isso é só a ponta do iceberg do roubo de cartões de crédito no mundo todo.