Fingrarna i kakburken – ny NordVPN-studie avslöjar riskerna med webbkakor

Vad är egentligen en internetcookie?

Du har sett pop-upsen. Nästan varje sajt du besöker har en. Webbkakor – eller web/internet cookies på engelska – är en så självklar del av vår internetvardag att vi knappt tänker efter innan vi klickar på ”Acceptera alla”.

Kakor är små textfiler som sparas på din enhet av webbplatser du besöker. De innehåller information om hur du surfar och vad du föredrar, och gör att sajter kan minnas dig mellan besöken. Det gör användarupplevelsen smidigare – till exempel genom att hålla dig inloggad eller komma ihåg varukorgen om du lämnar sidan och kommer tillbaka senare. Men kakor kan också användas för att spåra dig i marknadsföringssyfte, vilket har väckt integritetsfrågor.

Och precis som i ett riktigt bageri finns det olika sorters kakor även på nätet:

• Förstapartskakor skapas och sparas av den webbplats du besöker. De används för att komma ihåg till exempel dina inloggningsuppgifter eller inställningar. När du loggar in på en sajt kan en förstapartskaka spara ditt användarnamn till nästa gång. Dessa kakor anses ofta mindre påträngande – men kan ändå innebära risker om de till exempel innehåller känsliga uppgifter som session-ID:n eller inloggningar som kan utnyttjas av angripare.
• Tredjepartskakor kommer från någon annan än sajten du är inne på. Ofta är det annonsnätverk eller analysverktyg som placerar tredjepartskakor på din enhet för att följa dig mellan flera olika webbplatser. De håller koll på vilka länkar du klickar på och vilka produkter du tittar på – och används för riktad reklam.
• Superkakor är mycket svårare att upptäcka och radera. Till skillnad från vanliga kakor som lagras i webbläsaren och enkelt kan tas bort så gömmer sig superkakor på mer udda platser, som i Flash-lagring, HTML5-lagring eller använder tekniker som ETags och HSTS. Vissa superkakor kommer till och med från internetleverantörer, som smyger in spårningskoder direkt i din datatrafik. Eftersom de kan dyka upp igen efter att du rensat dina vanliga cookies utgör de ett allvarligt hot mot säkerheten.
• Zombiekakor – ja, namnet passar faktiskt – återuppstår från de döda även efter att du raderat dem. De återskapas ofta automatiskt från säkerhetskopior som sparats utanför de vanliga kaklagren. Det gör dem extremt svåra att bli av med och till en riktig mardröm för den som värnar om sin integritet.

Den mindre söta sanningen om webbkakor

De flesta kakor är ofarliga. Men i fel händer kan även minsta smula utgöra ett digitalt fotspår – att slentrianmässigt acceptera alla cookies kan alltså vara en riskabel vana. Och vår senaste studie visar exakt hur riskabelt det kan vara. Som uppföljning till förra årets granskning av webbkakor har vi tillsammans med oberoende forskare analyserat ytterligare ett dataset – den här gången med över 93,7 miljarder kakor som varit till salu på forum på mörka webben och i Telegram-kanaler. Forskarna undersökte var kakorna kom ifrån, vad de innehöll, om de fortfarande var aktiva och hur cyberkriminella använder dem.

Det är viktigt att poängtera att varken NordVPN eller våra forskningspartners har köpt några stulna cookies eller fått tillgång till deras innehåll. Analysen baserades enbart på den information som fanns tillgänglig i annonserna – allt för att skydda användarnas integritet och säkerhet under hela arbetet med rapporten. Datan analyserades av NordStellar, en plattform för hantering av hotexponering.

Hur kakorna blir stulna

Cyberkriminella behöver ingen ugn för att ”baka” kakor – de stjäl dem med hjälp av malware (skadlig programvara). I vår studie upptäckte forskarna att nästan alla kakor samlats in med hjälp av så kallade infostealers, trojaner och keyloggers. Det här är typer av skadlig kod som är skapade för att stjäla inloggningsuppgifter, kakor, sparade lösenord och kryptoplånböcker. Här är några av de vanligaste verktygen bakom de stulna webbkakorna i vår granskning:

• Redline är ett av de mest använda verktygen för både keylogging och informationsstöld – ett klassiskt exempel på ”malware as a service”. Redline låg bakom nästan 42 miljarder av kakorna i vårt dataset. Dock var bara 6,2 % fortfarande aktiva, vilket tyder på att livslängden för stulna data ofta är ganska kort.
• Vidar är ett annat malware as a service-verktyg, som kan konfigureras för att rikta in sig på specifika datatyper. Det låg bakom cirka 10,5 miljarder kakor, varav 7,2 % fortfarande var giltiga.
• LummaC2 är en nyare tjänst för cyberbrottslingar som växer snabbt i användning. Den stod för drygt 8,8 miljarder stulna kakor – 6,5 % av dem var fortfarande aktiva.
• CryptBot riktar främst in sig på Windows-system. Även om det ”bara” stod för 1,4 miljarder kakor var hela 83,4 % av dem fortfarande aktiva – vilket gör CryptBot till det mest effektiva verktyget i vår lista.

Den här typen av skadlig kod är lätt att få tag på och enkel att använda – vilket gör den tillgänglig för nästan vem som helst. Den gömmer sig ofta i piratkopierade program eller filer som verkar harmlösa. När den väl är installerad skannar den webbläsarens kakor och skickar allt till en så kallad command-and-control-server. Därifrån kan informationen säljas vidare – ibland bara minuter senare.

Vad finns egentligen i kakburken?

Så – vad innehåller alla dessa webbkakor egentligen? Ganska mycket, visar det sig. När cyberkriminella säljer stulna kakor lägger de ofta till nyckelord för att visa vilken typ av information de innehåller. Det vanligaste nyckelordet var ”ID” (18 miljarder), följt av ”session” (1,2 miljarder). Många kakor var också märkta med ”auth” (autentisering) (272,9 miljoner) och ”login” (61,2 miljoner). Det här tyder på att kakorna är kopplade till specifika användarkonton och kan alltså användas för att kapa pågående sessioner utan att ens behöva ett lösenord. Det är särskilt oroande med tanke på att av de 93,7 miljarder kakor som analyserades, var 15,6 miljarder fortfarande aktiva.

Men det handlar inte bara om inloggningar. En del kakor innehöll också personlig information, som namn, e-postadress, land, stad, kön, födelsedag – och ibland till och med fysisk adress. Sådana uppgifter kan vara minst lika farliga, eftersom de kan användas för riktade attacker via social ingenjörskonst (social engineering) eller, i värsta fall, identitetsstöld. När uppgifter som plats eller födelsedatum sprids så handlar det inte bara om en integritetsrisk – det kan också bli ett direkt hot mot din personliga säkerhet.

Var kom kakorna ifrån?

Forskarna undersökte också var de stulna kakorna hade sitt ursprung – sett till tre huvudfaktorer: vilka företag/plattformar de kom från, från vilket land och vilket operativsystem som använts.

Företag/plattformar

Att stora teknikjättar står i centrum är ingen överraskning. Kakor kopplade till Googles tjänster utgjorde den största delen av hela datasetet – över 4,5 miljarder kakor relaterade till bland annat Gmail, Google Drive och andra Google-tjänster. YouTube och Microsoft stod också för mer än en miljard kakor var.

Populära plattformar är extra attraktiva mål eftersom de ofta ger tillgång till mängder av information. Dessutom används Google- och Microsoft-konton ofta för flerfaktorsautentisering. Om en angripare får tag på en aktiv sessionskaka från Google eller Microsoft kan de i princip ta sig in i e-post, dokument, kalendrar – och till och med andra kopplade konton – utan att behöva knäcka ett enda lösenord eller trigga säkerhetsvarningar.

Länder

Kakor kan bli stulna över hela världen, och det syns i siffrorna. Även om många av de stulna kakorna inte hade någon geografisk etikett, fanns det uppgifter kopplade till minst 253 olika länder och territorier. Vissa poster var märkta som ”okänt ursprung”, så det verkliga antalet kan vara ännu högre.

Bland de mest drabbade länderna fanns Brasilien, Indien, Indonesien och USA. Inom Europa toppade Spanien listan med 1,75 miljarder stulna kakor. I Sverige hittades över 208 miljoner stulna kakor, varav nära 9 % fortfarande var aktiva – en nivå i klass med flera av de mest drabbade länderna globalt. Det visar att även ett mindre land som Sverige är en tydlig måltavla i dessa typer av attacker.

Enheter

De flesta kakorna hade samlats in från Windows-enheter – inte helt oväntat, eftersom det är det system som oftast attackeras av skadlig kod. Men det fanns också över 13,2 miljarder kakor från andra operativsystem, eller där ursprunget var okänt. Så även om Windows-användare är mest utsatta så kan användare av andra system inte känna sig helt säkra – attacker sker även där.

Vad kan en angripare göra med dina kakor?

Kakor kanske låter sött – men ibland lämnar de en bitter eftersmak. Faktum är att även de kakor som verkar oviktiga kan ställa till med stor skada, både för dig som privatperson och för företag. När en dörr väl är öppen är det ofta inte så svårt att forcera nästa. Sessionskakor – särskilt de som fortfarande är aktiva – är rena guldgruvan för angripare. De gör det möjligt att hoppa över hela inloggningsprocessen. Men riskerna slutar inte där. Stulna kakor kan också användas för att:

• Ta över dina konton på sociala medier, e-post eller e-handelsplattformar.
• Utge sig för att vara du genom sparade inloggningar och autofyll-uppgifter.
• Kringgå tvåfaktorsautentisering om kakan signalerar en "betrodd enhet".
• Genomföra riktade nätfiskeattacker baserat på personlig information.
• Komma åt känsliga kunddata, ekonomisk information eller interna system.
• Hjälpa till att genomföra ransomware-attacker genom att stjäla inloggningar eller få åtkomst till administratörsbehörigheter.

Så stänger du kakburken

Att skydda sig mot kakstölder betyder inte att du måste sluta använda internet – men det kräver några förändringar i dina vanor:

• Tänk efter innan du accepterar kakor. Det första steget mot bättre skydd är att förstå att alla kakor inte är nödvändiga. Bara för att du kan acceptera alla betyder det inte att du måste. Tacka nej till onödiga kakor där det går – särskilt tredjepartskakor som spårar ditt beteende. De flesta sajter fungerar ändå precis som de ska.
• Använd extra säkerhetsverktyg. Skadlig kod – inklusive infostealers – infiltrerar ofta via nedladdningar eller nätfiskelänkar. Med verktyg som Threat Protection Pro™ kan du blockera skadliga webbplatser och skanna filer innan de laddas ner till din enhet.
• Rensa dina kakor regelbundet. Alla kakor är inte värda att spara – rensa de gamla. Gör det till en vana, särskilt efter att du loggat in på delade eller offentliga datorer. Det kan kännas som en liten åtgärd, men det minskar tiden då dina uppgifter ligger oskyddade.

Använd en säkrare uppkoppling. Undvik allmänna wifi-nätverk och okrypterade anslutningar. Ett VPN krypterar din datatrafik och skyddar dig mot att bli avlyssnad, vilket gör det mycket svårare för angripare att snappa upp dina kakor.