“Aceita todos os cookies desta página?” Essa é uma mensagem bem comum que todos recebemos diariamente ao acessar sites, seja pelo celular ou pelo computador, e que normalmente “aceitamos” sem ao menos entender o que são cookies.
Não estamos falando dos deliciosos biscoitos americanos com pingos de chocolate. Os cookies são pequenos arquivos criados pelo navegador e armazenados no dispositivo do usuário enquanto ele navega por uma página da web. São usados para guardar informações sobre as preferências do usuário, histórico de navegação, dados de login e outras informações relevantes para melhorar a navegação em um website.
Os cookies são importantes para os servidores web porque permitem aos sites personalizarem a experiência do usuário, lembrando informações como as preferências de idioma, itens do carrinho de compras, configurações de conta e até mesmo fornecendo anúncios direcionados com base no comportamento de navegação do usuário.
Há vários tipos de cookies: cookies de sessão são temporários, desaparecem quando você fecha o navegador e guardam informações momentâneas, como o conteúdo de um carrinho de compras; os cookies persistentes ficam no dispositivo por mais tempo, mantendo informações a longo prazo, como as preferências do usuário; os cookies de terceiros são criados por sites diferentes do que está sendo acessado e são geralmente usados para publicidade e análise.
Infelizmente, os cookies também podem ser usados por criminosos cibernéticos para realizar ataques. Cookies são um dos alvos preferenciais dos malwares do tipo “stealer”, especializados no roubo de arquivos e informações dos dispositivos das vítimas, que posteriormente são enviados para um servidor sob o controle dos criminosos. Dentre os “stealers” mais ativos atualmente destacam-se o Raccoon, o RedLine Stealer e o Mars Stealer.
Em posse de um cookie de sessão, o criminoso consegue, com a ajuda de ferramentas especializadas, restabelecer a sessão em um website da mesma forma em que ela foi aberta no computador da vítima. Isto quer dizer, por exemplo, que se o cookie tiver sido roubado enquanto o usuário acessava uma conta de e-mail, o criminoso consegue retomar exatamente deste ponto e acessar os e-mails da vítima. Isso torna desnecessário que o ator malicioso saiba a senha da conta, e mesmo métodos auxiliares de proteção podem ser momentaneamente contornados, uma vez que a autenticação não será solicitada de imediato.
“Um cookie de sessão é gerado quando o usuário realiza login em um serviço online, fornecendo sua senha e, se for o caso, a e autenticação de múltiplo fator (MFA). Esse cookie permite que o usuário seja autenticado automaticamente nas próximas vezes que acessar o mesmo serviço, sem a necessidade de inserir novamente as credenciais de login”, explica Anchises Moraes, expert em cibersegurança e Threat Líder na Apura Cyber Security.
Os cookies roubados do computador infectado normalmente são anunciados ou distribuídos em mercados maliciosos, fóruns underground ou grupos de aplicativos de mensagens focados em fraudes. Muitos cibercriminosos se interessam por obter cookies válidos como uma forma de contornar os métodos e autenticação e assim conseguirem acesso às informações das vítimas, e, posteriormente, ao próprio sistema delas, o que pode permitir a instalação de outros tipos de malwares, como ransomware, por exemplo.
“Felizmente, os cookies de sessão possuem um tempo de expiração limitado, dificultando o acesso aos sistemas das vítimas por longo tempo. No entanto, é importante estar atento a boas práticas de segurança, como evitar clicar em links suspeitos, manter o sistema operacional e o navegador atualizados e utilizar soluções de segurança confiáveis para proteger contra ataques cibernéticos”, reforça o especialista.
Ataques via cookies apenas no último ano
Além dos cookies de sessão, outros alvos dos malware “stealers” são os dados de cartões de crédito e as informações digitadas em formulários web em geral. Muitos usuários habilitam o salvamento automático dessas informações em seus navegadores, aproveitando o recurso de autopreenchimento a fim de facilitar acessos futuros, mas isso acaba facilitando também a obtenção desses dados pelos criminosos.
Recentemente, foi realizada a operação Cookie Monster pela polícia federal americana, o FBI, em parceria com forças policiais de vários países. Dela resultou o fechamento do site criminoso Gênesis, conhecido por vender credenciais de acessos e outros produtos ilícitos na dark web. Estima-se que o fórum possuía cerca de 80 milhões de credenciais e outras informações roubadas de mais de 2 milhões de pessoas.
Outro site utilizado por ciber criminosos para a venda de informações roubadas, entre elas os cookies, é o Russian Market. Nesse site, também é possível encontrar informações de cartões de crédito, credenciais para acesso RDP e ferramentas maliciosas. Pagando a partir de 50 dólares, os usuários têm acesso ao conteúdo do fórum.
“Estes sites também permitem a busca por informações específicas. É possível, por exemplo, realizar buscas pelo e-mail de uma empresa ou seu nome de domínio, o que é muito desejado por hackers que pretendem realizar ataques direcionados a funcionários ou clientes de uma empresa em particular”, explica Moraes.
O roubo de cookies não só coloca em risco a segurança e privacidade dos usuários, mas também pode resultar em prejuízos financeiros e até mesmo comprometer a reputação das vítimas. Portanto, é essencial que os usuários estejam sempre atentos à proteção de seus dados e que evitem salvar informações sensíveis em navegadores.
Além disso, é importante que mantenham as melhores práticas de segurança, evitando abrir e-mails de origem desconhecida; clicar em links suspeitos; manter o sistema operacional, navegadores e antivírus sempre atualizados; ter cuidado com golpes de engenharia social, no qual os criminosos tentam ludibriar os usuários a baixar aplicações de origem indeterminada ou realizar ações duvidosas; entre outras.