Dedos pegajosos no frasco das bolachas: estudo revela os riscos dos cookies

Uma dentada nos cookies

Já está habituado às janelas pop-up que aparecem em quase todos os sites que visita. Os cookies web, mais conhecidos por “cookies”, tornaram-se uma parte tão elementar da nossa rotina de navegação que mal pensamos duas vezes antes de clicar em “Aceitar todos”.

Os cookies são pequenos ficheiros de texto que os sites que visita armazenam no seu dispositivo. Contêm informações sobre a sua atividade e preferências de navegação e ajudam os sites a lembrarem-se de informações entre sessões, tornando a experiência de navegação mais cómoda e personalizada. Por exemplo, podem manter a sua sessão iniciada ou lembrar-se do que guardou no carrinho de compras, mesmo que saia da página e volte depois. No entanto, os cookies também podem monitorizar a sua atividade para efeitos de publicidade, o que levanta preocupações de privacidade.

Tal como numa pastelaria, os cookies da internet vêm em diversos formatos e sabores:

• Os cookies primários são criados e armazenados pelos sites que visita. Servem para lembrar as suas credenciais de início de sessão, as suas preferências e as definições de cada site. Por exemplo, ao iniciar sessão num site, os cookies primários podem armazenar o seu nome de utilizador para que não tenha de voltar a introduzi-lo numa próxima visita. Os cookies primários são geralmente considerados menos intrusivos, mas continuam a trazer riscos graves, especialmente quando armazenam dados sensíveis como os ID de sessão ou as credenciais de início de sessão que, se forem roubadas, podem dar aos atacantes acesso a contas pessoais ou até a redes empresariais.
• Os cookies de terceiros são armazenados no seu dispositivo por outro site que não o que está a visitar. Por exemplo, os anunciantes ou provedores de serviços de análises podem criá-los para enviar publicidade direcionada e fazer monitorização comportamental. Os cookies de terceiros seguem a sua atividade em diferentes sites, como as ligações em que clica e os produtos que vê.
• Os supercookies são mecanismos de controlo que se tornam muito mais difíceis de detetar e remover. Ao contrário dos cookies normais, que são armazenados no seu navegador e podem ser facilmente eliminados, estes escondem-se em locais mais recônditos, como o armazenamento local flash ou o armazenamento local HTML5 – ou utilizam técnicas como as ETags (etiquetas de entidade) ou o HSTS para se manterem ativos. Há supercookies que chegam a ser adicionados por provedores de serviços de internet, que aplicam identificadores especiais ao seu tráfego para o seguir através de todos os sites que visita. Como são armazenados em sítios menos usuais ou adicionados através de manipulação da camada de rede, os supercookies podem reaparecer mesmo depois de ter limpado os cookies do navegador, o que faz com que constituam um sério risco de segurança.
• Os cookies zombie “ressuscitam” mesmo depois de serem eliminados. São muitas vezes recriados automaticamente através de cópias de segurança guardadas fora do armazenamento normal dos cookies, o que torna os cookies zombie quase impossíveis de remover e uma grave ameaça de segurança.

Estudo revela o lado menos doce dos cookies

A maioria dos cookies é inofensiva. Mas, se for parar às mãos erradas, até a mais pequena migalha pode expor todo um rasto digital, pelo que aceitar cookies cegamente pode ser um hábito arriscado – e a nossa mais recente investigação mostra-o bem. No seguimento do estudo que fizemos no ano passado sobre os cookies web, voltámos a estabelecer parceria com os investigadores da NordStellar, uma plataforma de gestão de exposição a ameaças, que analisaram desta vez um conjunto de mais de 93,7 mil milhões de cookies à venda em fóruns da dark web e nos marketplaces do Telegram. Os investigadores analisaram a sua origem, conteúdo, se estavam ativos e como são utilizados pelos cibercriminosos.

É importante notar que nem a NordVPN nem os seus parceiros de investigação compraram os cookies roubados e/ou acederam ao seu conteúdo. Os nossos parceiros limitaram-se a analisar os dados que estavam disponíveis nas listas de venda de cookies, respeitando a privacidade e segurança dos utilizadores da internet durante os dados recolhidos para este relatório de investigação.

Como os cookies são roubados

Os cibercriminosos não precisam de forno para fazer bolachas: só precisam de malware. No nosso estudo, os investigadores descobriram que quase todos foram recolhidos por infostealers, cavalos de Troia e keyloggers. Estas categorias de malware são desenvolvidas especificamente para recolher dados de início de sessão, cookies, palavras-passe guardadas no navegador e carteiras de criptomoedas. Aqui estão algumas das ferramentas mais comuns utilizadas para roubar cookies:

• O Redline é um dos keyloggers e infostealers mais utilizados, apresentando-se como malware como serviço. O Redline Stealer é responsável pela maior parte dos cookies roubados do nosso conjunto de dados - quase 42 mil milhões de cookies. No entanto, apenas 6,2% ainda estavam ativos, o que significa que o tempo de vida dos dados roubados é relativamente curto.
• O Vidar é também uma forma de malware como serviço, com configurações específicas direcionadas para determinados tipos de dados. Recolheu cerca de 10,5 mil milhões de cookies, dos quais 7,2% continuam válidos.
• O LummaC2 é um programa de roubo oferecido como serviço aos cibercriminosos. É mais recente, mas tem atraído uma procura cada vez maior. Foi responsável por mais de 8,8 mil milhões de cookies roubados, com 6,5% ainda ativos.
• O CryptBot é um infostealer que ataca principalmente os sistemas operativos Windows. Embora tenha sido responsável por apenas 1,4 mil milhões de cookies, 83,4% ainda estavam ativos, o que faz do CryptBot o malware mais eficaz da nossa lista.

Estas ferramentas de malware são fáceis de utilizar e estão bastante disseminadas, sendo fáceis de adquirir por praticamente qualquer pessoa. Muitas vezes, escondem-se em software pirateado ou em transferências aparentemente inofensivas. Uma vez instaladas, analisam o armazenamento de cookies dos navegadores e enviam tudo para um servidor de comando e controlo. A partir daí, os dados podem ser listados na dark web, por vezes passados apenas poucos minutos.

O que se esconde no frasco das bolachas?

Qual o motivo do interesse pelos cookies? Não faltam motivos. Quando os cibercriminosos vendem cookies roubados, marcam-nos muitas vezes com palavras-chave para identificar os tipos de dados que contêm. Algumas das palavras-chave mais comuns que encontrámos foram “ID” (18 mil milhões), seguidas de “sessão” (1,2 mil milhões). Um número significativo de cookies roubados foi rotulado com as palavras-chave “auth” (272,9 milhões) e “login” (61,2 milhões). Estas etiquetas sugerem que os cookies estão ligados a contas de utilizador específicas, o que significa que podem ser reutilizados para sequestrar sessões ao vivo sem palavra-passe. Isto torna-se ainda mais preocupante se tivermos em conta que, dos 93,7 mil milhões de cookies roubados analisados, 15,6 mil milhões ainda estavam ativos.

Mas não é apenas o acesso às contas que está em causa. Alguns destes cookies contêm informações pessoais, como o nome de utilizador, o seu endereço de e-mail, país e cidade de residência, bem como o sexo, a data de nascimento e nalguns casos até a morada física. Estas informações são perigosas, porque permitem que os criminosos criem ataques personalizados de engenharia social e, no pior dos casos, roubem as identidades dos utilizadores. E, quando informações como a sua localização ou data de aniversário se tornam públicas, isso não constitui apenas um risco de privacidade, mas uma ameaça para s segurança pessoal.

De onde vieram os cookies?

Os investigadores analisaram mais de perto a origem dos cookies roubados, debruçando-se sobre três fatores principais: a plataforma de onde foram extraídos, o país de origem e o sistema operativo.

Plataformas

Em termos de plataformas, não é de admirar que os grandes nomes prevaleçam. Os cookies associados aos serviços da Google constituíam a maior parte do conjunto de dados - mais de 4,5 mil milhões de cookies estavam ligados ao Gmail, ao Google Drive e a outros serviços da Google. Já o YouTube e a Microsoft foram responsáveis, cada um, por mais de mil milhões de cookies. 

As grandes plataformas são alvos apetecidos porque contêm um maior manancial de informações. Além disso, as contas da Google e da Microsoft são muito utilizadas para a autenticação multifator. O roubo de um cookie de sessão da Google ou da Microsoft pode dar aos cibercriminosos acesso a e-mail, ficheiros, calendários e até a contas associadas, sem que tenham de adivinhar palavras-passe ou de passar pela autenticação de dois fatores.

Países

Os cookies podem ser roubados em qualquer parte do mundo, e os números comprovam-no. Embora muitos dos cookies roubados não contivessem dados sobre o país do utilizador, os que os incluíam estavam ligados a pelo menos 253 países e territórios. Algumas listas de cookies encontravam-se marcadas como “desconhecidas”, o que significa que o verdadeiro número pode ser ainda maior.

O Brasil, a Índia, a Indonésia e os Estados Unidos foram os países mais atingidos. Entre o grupo de países europeus, a Espanha foi o primeiro a abrir a lista, com 1,75 mil milhões de cookies roubados, enquanto o Reino Unido, apesar de representar apenas cerca de 800 milhões de cookies, tinha uma elevada taxa de cookies ativos, de 8,3%. O caso de Portugal não se afasta muito deste, com um valor considerável de 8,35% de cookies ativos.

Dispositivos

A maioria dos cookies tinha sido extraída de dispositivos Windows, o que não é de admirar, uma vez que a maior parte do malware é direcionada para o Windows. No entanto, havia mais de 13,2 mil milhões de cookies que tinham sido extraídos de outros sistemas operativos ou que eram de origem desconhecida. Assim, embora os utilizadores do Windows continuem a ser os maiores alvos, os utilizadores de outros sistemas não estão a salvo, já que os ataques a outras plataformas também acontecem.

O que é que um atacante pode fazer com os seus cookies?

Os cookies parecem doces, mas podem deixar um travo desagradável. A verdade é que até os cookies aparentemente mais insignificantes podem causar danos a si ou à empresa onde trabalha. Uma vez aberta uma porta, torna-se mais fácil abrir outras. Os cookies de sessão, especialmente os ativos, são uma mina de ouro para os atacantes, que podem contornar as páginas de início de sessão. Mas os riscos não se ficam por aqui. Os cookies roubados também podem ser utilizados para:

• Assumir o controlo das suas contas de redes sociais, e-mail ou compras online.
• Imitar a sua presença online, através de inícios de sessão guardados ou de informações de preenchimento automático.
• Contornar a autenticação de dois fatores se o cookie identificar um dispositivo “de confiança”.
• Lançar ataques de phishing direcionados com as suas informações pessoais.
• Mover-se lateralmente na rede, sobretudo em empresas que utilizam o SSO (início de sessão único) baseado em cookies.
• Aceder a dados financeiros ou de clientes e a outras informações confidenciais.
• Ajudar a lançar ataques de ransomware através do roubo de credenciais de início de sessão ou acedendo a permissões de sistema de nível superior.

Como proteger o frasco das bolachas

Não precisa de abandonar a internet para se prevenir contra o roubo de cookies, bastando alterar alguns hábitos:

• Pense duas vezes antes de aceitar os cookies: o primeiro passo para reforçar a sua segurança online é saber que nem todos os cookies são necessários e que, lá porque pode aceitá-los todos, isso não significa que deva fazê-lo. Sempre que possível, rejeite os cookies desnecessários, especialmente os de terceiros ou os que monitorizam o seu comportamento. A maioria dos sites continua a funcionar bem sem eles.
• Invista nas ferramentas de segurança: o malware, incluindo os infostealers, entra muitas vezes nos computadores através de transferências ou de ligações de phishing. Ferramentas como a Proteção contra Ameaças Pro™ bloqueiam os sites maliciosos e verificam se há malware nas transferências antes de elas chegarem ao seu computador.
• Limpe os cookies regularmente: não vale a pena manter todos os cookies, por isso descarte os mais antigos. Faça disso um hábito, especialmente depois de iniciar sessão em computadores públicos ou partilhados. Este passo pode parecer de menor importância, mas ajuda a encurtar o prazo durante o qual os seus dados podem ser desviados.
• Utilize ligações seguras: comece por evitar redes Wi-Fi públicas ou ligações não encriptadas. Instale uma VPN, que encripta o seu tráfego online, protegendo-o contra intrusos.