·
Olyckskaka? Miljarder stulna cookies exponerar dina data
"Vi använder cookies för att ge dig den bästa onlineupplevelsen. De kan bli stulna och användas i en cyberattack. Godkänner du cookies?"
Forskare analyserade ett dataset med 54 miljarder cookies och de annonser de såldes i på den mörka webben för att ta reda på hur de stals, vilka säkerhets- och integritetsrisker de utgör och vilken typ av information de innehåller. Syftet med den här studien är att belysa hur internetanvändare äventyrar sina konton, pengar och personuppgifter genom att helt enkelt acceptera cookies utan att tänka.
De bra, de dåliga och de nödvändiga: en studie av olika typer av internetcookies
Cookies spelar en väsentlig roll för hur internet fungerar idag. I grund och botten är de små textfiler som en webbplats lagrar på din enhet. Men när man tittar närmare finns det så mycket mer att upptäcka. Vi går igenom de vanligaste typerna av cookies och deras risker.
Förstapartscookies skapas och lagras av webbplatsen du besöker. Dessa cookies kommer ihåg dina inloggningsuppgifter, anpassar webbplatsens innehåll och lagrar dina inställningar, så de anses vara nödvändiga för grundläggande webbplatsfunktionalitet och användarvänlighet.
De är i allmänhet mindre påträngande än cookies från tredje part, men cookies från första part kan utgöra allvarliga säkerhetsrisker. Det är inte bara de personuppgifter som lagras i dem som står på spel. Cookies håller dig inloggad på webbplatser, konton och tjänster, så viktig autentiseringsdata står också på spel. Från sessions-ID till användaridentifierare – cookies kan innehålla dem alla. Om någon får tag på dessa cookies kan de använda dem för att öppna sessioner igen och få åtkomst till mer känslig information från dina andra konton till företagssystem.
Klicka försiktigt: hur stjäls cookies?
Många cyberbrottslingar vill stjäla, sälja eller använda cookies och den information de innehåller för andra attacker. Hur lyckas de få tag i miljontals internetanvändares cookies? Mestadels genom skadlig programvara – informationstjuvar, trojaner och keyloggers. Här är de vanligaste typerna av skadlig programvara som vi stötte på under vår studie:
Aurora
En informationstjuv som byter skepnad och utger sig för att vara legitim applikation – fylld med extra nollor för att undvika antivirusdetektering.
Azorult
En informationstjuv som kan stjäla användarnamn och lösenord, kreditkortsuppgifter och kryptoplånböcker och även ladda ner annan skadlig programvara.
CryptBot
En informationstjuv som riktar sig mot Windows-operativsystem, utformad för att stjäla kontolösenord som sparats i webbläsare, cookies, betalningsinformation och kryptoplånböcker.
Dark-crystal-rat
En trojan med fjärråtkomst som gör det möjligt för cyberbrottslingar att fjärrstyra den infekterade enheten. Den kan anpassas för ett antal olika ändamål.
MetaStealer
Denna skadliga programvara som en tjänst är tillgänglig som månadsprenumeration för 125 USD eller livstidsåtkomst för 1 000 USD och riktar sig mot kryptoplånböcker och lösenord.
Mystic
Skadlig programvara som riktar sig mot ett brett utbud av webbläsare och tillägg för att stjäla information, med hjälp av systemanrop och andra tekniker för att undvika upptäckt.
Pennywise
En informationstjuv som använder YouTube för att spridas. Dess effektiva multitrådning hjälper den att stjäla olika typer av data.
Predator-the-thief
Denna skadliga programvara, som uppdaterades med extra anti-analysfunktioner för att hjälpa den att undvika upptäckt, är tillgänglig för endast 150 USD. En kryptoplånboksmodul är tillgänglig för 100 USD mer.
Raccoon
Skadlig programvara som en tjänst med teknisk support. Den är mindre diskret eftersom den skickar data allteftersom den samlas in, och har inga förvrängningstekniker, men den är populär och ganska effektiv.
Redline
En keylogger och informationstjuv som erbjuds som skadlig programvara som en tjänst för 100 USD/månad. Den innehåller moduler för anpassning och extra funktioner, som att ladda ner annan skadlig programvara.
Taurus
Skadlig programvara som sprids via skadlig marknadsföring och skräppost för att lura användare att ladda ner den själva. Den använder förvrängning för att undvika upptäckt.
Vidar
Skadlig programvara som en tjänst som skördar data från operativsystem och användare med specifika konfigurationer som är utformade för att rikta in sig på specifika typer av data.
Resultaten: en oaptitlig sanning
Forskarna analyserade en samling av 54 miljarder (54 008 833 188) cookies som finns tillgängliga på den mörka webben. Sjutton procent var aktiva, vilket motsvarar över 9 miljarder cookies. Aktiva cookies utgör en större risk eftersom de uppdateras aktivt i realtid medan användaren surfar på internet. Inaktiva cookies kan dock, även om de uppdaterades för länge sedan, också innehålla användarrelaterad information och till och med användas för ytterligare attacker och manipulation.
Över hälften av både aktiva och inaktiva cookies stals med Redline. En högre andel aktiva cookies stals dock genom Predator-the-thief, Cryptbot, MetaStealer och Taurus (57%, 51%, 48% respektive 44%). Den typ av skadlig programvara som används visar att både erfarna cyberbrottslingar och nybörjare som använder skadlig programvara som en tjänst, stal data för att sälja dem på nätet.
Vems cookies är det här?
Plattformar
Över 5% av alla cookies i datasetet kom från Google, 1,3% från YouTube, över 1% från Microsoft och ytterligare 1% från Bing.
Att dessa cookies är till salu innebär en stor risk för deras ägare – de är kopplade till primära e-postkonton som kan användas för att komma åt andra inloggningsuppgifter. Även om dessa procentandelar kan verka minimala är det värt att notera att 1% av det totala datasetet fortfarande är över 500 miljoner cookies, vilket är en enorm mängd användardata.
*NordVPN varken stöds, drivs eller sponsras av ägarna av de nämnda plattformarna, och är inte anslutet till eller på något sätt associerat med dem. Plattformar anges endast i syfte att korrekt rapportera information relaterad till cookies som är tillgängliga på den mörka webben.
Enheter
Nästan alla 54 miljarder cookies skrapades från Windows-enheter (på grund av den skadliga programvarans natur). Det fanns dock över 31,5 miljoner Apple-cookies i datasetet. Detta visar bristerna i systemet eftersom användare loggar in på sina konton på olika enheter och plattformar.
Cookies i datasetet hade etiketter för över 4 500 olika operativsystem. Det beror på den specifika karaktären hos operativsystemen som körs på olika enheter – många av etiketterna verkade ha ett enhets- och modellspecifikt namn snarare än ett separat operativsystem. Detta understryker den detaljnivå som lagras i cookies som kan användas för att identifiera individer på nytt.
Det vanligaste operativsystemet var Windows 10 Enterprise (över 16 miljarder och 30% av det totala antalet), vilket visar den ökade risken för att företag blir hackade.
*NordVPN varken stöds, drivs eller sponsras av ägarna av de nämnda varumärkena, och är inte anslutet till eller på något sätt associerat med dem. Varumärkena anges endast i syfte att korrekt rapportera information relaterad till cookies som är tillgängliga på den mörka webben.
Länder
Hälften av alla cookies innehöll inga data om länder; dock var 95% inaktiva. Av dem som innehöll data om användarens land var de vanligaste Brasilien, Indien, Indonesien, USA och Vietnam. Om vi tittar specifikt på Europa kom flest cookies från Spanien – 554 miljoner. Även om Storbritannien rankades först på 120:e plats vad gäller antalet cookies var över hälften av dem aktiva. Sammanlagt representerades användare från 244 länder och territorier i dataunderlaget, vilket visar på den breda räckvidden för hackare och avancerade skadliga programvaror.
Vad finns i kakburken?
Säljare tilldelade vissa nyckelord till cookies i sina annonser så att potentiella köpare kunde se vilka data de kunde förvänta sig att hitta i dessa cookies. De vanligaste sökorden som bifogades cookies var "tilldelat ID" (10,5 miljarder), följt av "sessions-ID" (739 miljoner) – båda kan kopplas till specifika användare. Dessa följdes av 154 miljoner instanser av sökordet "autentisering" (15% aktiva) och 37 miljoner "inloggning" (18% aktiva). De senare två är särskilt farliga – många är fortfarande aktiva, vilket innebär att någon kan använda dessa cookies för att logga in på folks konton.
När det gäller personuppgifter lagrade cookies oftast en användares namn, e-postadress, stad, lösenord och fysiska adress. En viss stad inkluderades i 9 miljoner cookies, medan över 2 miljoner till och med innehöll användarens specifika adress. Sexuell läggning, även om den var mindre frekvent, förekom fortfarande 500 000 gånger i datasetet, med en högre andel aktiva cookies (26%). Detta innebär en extra risk för personer som är HBTQ+ – i vissa länder kan exponering av din icke-traditionella sexuella läggning leda till allvarliga konsekvenser.
En cyberbrottsling kan använda aktiva cookies för att logga in på någons personliga konto. Information som finns där, tillsammans med data från själva cookiefilerna, skulle göra det möjligt för dem att skapa detaljerade användarportföljer och utföra cyberattacker mot människor och deras arbetsplatser.
De dolda riskerna: se upp för kakmonstret
Även om internetcookies kan verka som en ofarlig teknik för vissa så är det en stor risk för både individer och företag att 54 miljarder cookies är till salu på den mörka webben. Informationen de innehåller kan leda till massiva attacker på nätet och i verkliga livet.
Vad kan hända om cookies stjäls från din enhet?
Om en hackare får tag på en samling cookies från olika plattformar och tjänster kan de använda dem för många skadliga aktiviteter:
Om någon har cookies som innehåller identifierare för dina sessioner kan de utge sig för att vara du på nätet och få obehörig åtkomst till dina konton utan att ens behöva gissa sig till eller stjäla ditt lösenord. Dina konton för sociala medier, e-post och onlineshopping kan alla vara i riskzonen.
Vissa cookies kan ge en angripare åtkomst till så mycket personuppgifter att de kan användas för identitetsstöld. Om de loggar in på ditt konto som har ditt namn, din adress, ditt telefonnummer och dina betalningsuppgifter kan detta användas för att begå bedrägeri eller andra brott i ditt namn.
Cookies används för att spåra dina surfvanor och preferenser. Någon med åtkomst till denna information kan använda den tillsammans med annan information de har om dig för riktade nätfiskeattacker. Om datasetet är tillräckligt stort kan de sälja det till tredje parter som är intresserade av riktad annonsering.
Vissa webbplatser använder cookies för att komma ihåg enheter eller IP-adresser som har genomgått tvåfaktorsautentisering eller andra säkerhetskontroller. Med sessionscookies som innehåller dina data kan någon kringgå dessa säkerhetsåtgärder och göra åtkomsten till dina skyddade konton enklare.
Vad kan hända med ett företag om cookies stjäls från deras enheter?
Stulna cookies som genereras av anställdas internetanvändning kan leda till ett stort intrång som påverkar olika aspekter av verksamheter, säkerhet, rykte och juridisk efterlevnad.
Angripare kan använda cookies för att få åtkomst till företagskonton, interna system och databaser. Denna åtkomst skulle göra det möjligt för dem att stjäla känslig företagsinformation, immateriella rättigheter, finansiella data, anställningsregister och kundinformation. Om de tar över ett företagssystem kan hackare låsa företagskonton tills en lösensumma betalas. Angriparna kan också initiera transaktioner eller använda företagets information för att utföra nätfiskeattacker mot leverantörer och kunder.
Rykte och juridisk skada är ett annat problem. Om känsliga eller reglerade data (som medicinska journaler) läcker kan det få allvarliga konsekvenser för ett företag, inklusive ekonomisk förlust från stöld, kostnaden för sanering, böter för brott mot dataskyddslagar (som GDPR eller CCPA) och kostnaden för att meddela berörda parter. Dessutom skulle företag sannolikt behöva ta itu med ett skadat rykte, brist på förtroende från kunder, partners och intressenter och svårigheter att locka nya kunder eller partner.
Stärk ditt försvar: så skyddar du din enhets cookies från hackare
Ett par nya vanor och allmän cybersäkerhetsmedvetenhet räcker långt för att skydda cookies som är relaterade till antingen en individs eller ett företags internetmiljö:
1. Använd en säker anslutning.
Skaffa ett premium-VPN och kryptera din internetanslutning konstant. Om du gör det förhindrar du inte bara att cookies fångas upp under överföringen utan hjälper också till att dölja viss identifierande information, som din IP-adress, vilket kan göra det svårare att koppla data till dig.
2. Skaffa ytterligare säkerhetsprogram.
Vissa VPN-leverantörer, som NordVPN, erbjuder ytterligare säkerhetsfunktioner som hjälper dig att undvika skadlig programvara som stjäl cookies. NordVPN:s Threat Protection blockerar din åtkomst till farliga webbplatser och nätfiskewebbplatser och skannar dina nedladdningsfiler för skadlig programvara.
3. Vägra cookies.
Det bästa sättet att undvika stöld är när det inte finns något att stjäla. De flesta webbplatser kommer att be om ditt tillstånd att använda vissa cookies under din session – du kan neka många spårningscookies. NordVPN:s Threat Protection hjälper dig ytterligare genom att blockera alla tredjepartsspårare från att följa efter dig på internet och samla in data om dig. Och slutligen kan du regelbundet rensa dina cookies för att ta bort gamla eller potentiellt komprometterade data. Detta steg är särskilt viktigt efter att ha använt offentliga eller delade datorer.
Mina cookies? Det angår inte dig
När det gäller företagsanvändares säkerhet gäller mer eller mindre samma sak. Använd VPN-tjänsten för företag NordLayer VPN för företag för att skydda dina anslutningar, utbilda regelbundet dina anställda i bästa cybersäkerhetspraxis och implementera interna säkerhetsfunktioner för att minimera sannolikheten för en cyberattack.
Metod
NordVPN samarbetade med oberoende forskare som sammanställde datasetet från Telegram-kanaler där hackare annonserar vilken stulen information som är till salu. Forskarna analyserade om cookies var aktiva eller inaktiva, vilken skadlig programvara som användes för att stjäla dem och vilket land de kom från, samt vilka data de innehöll – företaget som genererade cookien, användarens operativsystem och sökordskategorier som tilldelats användare.
Obs!Varken NordVPN eller dess forskningspartner köpte stulna cookies och eller fick åtkomst till innehållet i kakorna. Våra partner analyserade bara de data som var tillgängliga i cookie-annonserna. Vi var mycket försiktiga med att inte kränka integriteten eller säkerheten för internetanvändare när vi producerade denna forskningsrapport.
Pressmaterial
Letar du material som kan hjälpa dig att rapportera om vår forskning? Då har du kommit helt rätt.
Vill du lära dig mer om vårt digitala liv? Kolla in resten av vår forskning!
Integritet i mobilen: vad vill dina appar veta?
Dina Android- och iOS-appar behöver behörigheter i telefonen för att fungera – men hur mycket data är för mycket? Vi granskade över hundra populära appar runt om i världen för att se hur mycket de verkligen vill (och behöver) veta om dig.
Hälsovård eller hackning? Vi undersöker den dolda kostnaden för hälsoappar
Hälsoappar kan hjälpa oss att få sinnesro och återhämta vår fysiska hälsa. Men vilken roll spelar hälsoteknik i vårt digitala välbefinnande? Vi studerade 12 726 användare världen över för att undersöka användningen av hälsohanteringsappar och utbytet som sker obemärkt i bakgrunden.
Toppen av isberget: 6 miljoner stulna kort analyserade
Tusentals stulna kreditkort köps och säljs varje dag. För att förstå riskerna med kreditkortsstöld analyserade forskare ett dataset med 6 miljoner kreditkort tillgängliga på stora marknadsplatser på den mörka webben – detta är bara toppen av isberget av kreditkortsstöld över hela världen.