Artigo escrito por Pedro Torres, CEO da Plan4Privacy
Tal como prometido no último artigo, esta semana mantemo-nos no tema dos cookies. Primeiro explicámos-lhe o que são e porque recebemos um pedido para os aceitarmos, quando entramos pela primeira vez num site.
Neste artigo, vamos dar-lhe a conhecer que tipo de fraudes podem ocorrer, através dos cookies e como as prevenir.
Como já referenciámos, o risco de fraude atrás dos cookies pode ocorrer mais devido ao nível de segurança do site, do que à utilização dos cookies propriamente ditos. Para que alguém possa ter acesso aos seus dados, através dos cookies do site que consultou, é porque de alguma forma conseguiu entrar e ter controlo do servidor. E isto sim, é altamente preocupante.
Exemplo disso, foi o que aconteceu, em 2014, quando os piratas digitais aproveitaram uma falha no código do Yahoo, um portal da Internet; falsificaram os cookies e desta forma, conseguiram ter acesso a 500 milhões de contas; o mesmo ataque que provavelmente permitiu novo acesso indevido às contas de 32 milhões de utilizadores, entre 2015 e 2016.
As fraudes através dos cookies, apesar de serem raras, organizaram-se em 4 categorias (mantemos o nome no original para não deturpar o sentido do termo):
• Cross-site scripting: é uma vulnerabilidade encontrada em aplicações da Internet que permite a inserção de códigos maliciosos, a serem executados quando a página for acedida por outros utilizadores; esta técnica explora a confiança que um utilizador tem num site em particular; tem sido encontrado tanto nos pequenos sites como nos grandes e importantes; por meio desse ataque, o cibercriminoso pode instalar vários códigos maliciosos e, por exemplo, simular a página de login de um site para usurpar os valores inseridos; com o cross-site scripting, o utilizador recebe um cookie depois de visitar um site com código malicioso; o cookie inclui um pedaço de código que tem como alvo um terceiro site; o cookie do navegador está disfarçado como se fosse do site de destino.
• Session fixation: neste caso, os cibercriminosos roubam o ID da sua sessão, ou seja, a sua identificação digital; a partir daqui todas as interações negativas ou prejudicais feitas no site que visitou, são feitas com a sua identificação; é como se alguém fosse assaltar um banco e se identificasse com o seu nome, ou deixasse lá ficar o seu cartão de cidadão; automaticamente o seu nome estaria em primeiro lugar na lista de suspeitos; por este motivo é que não deve aceitar cookies de terceiros, ou pelo menos ter muito cuidado ao aceitar este tipo de cookies.
• Cross-site request forgery: este cenário é muito idêntico ao anterior, mas desta vez, é um ataque que induz a vítima a apresentar um pedido malicioso; com uma pequena ajuda de engenharia social (como o envio de um link via e-mail ou chat), um atacante pode enganar os utilizadores de uma aplicação web para executar ações à escolha do atacante; para a maioria dos sites, os pedidos do navegador incluem automaticamente quaisquer credenciais associadas ao site, tais como o cookie de sessão do utilizador, endereço IP e assim por diante; se o utilizador estiver atualmente autenticado no site, o site não terá forma de distinguir entre o pedido falso enviado pela vítima e um pedido legítimo enviado pela vítima.
• Cookie tossing: neste tipo de fraude de cookies, o atacante cria um cookie de subdomínio do site alvo; quando um utilizador visita o site são enviados ambos os cookies, de domínio e subdomínio; como não há nenhuma regra no navegador para enviar primeiro o cookie de domínio, pode escolher o cookie de subdomínio e enviá-lo primeiro; se o cookie de subdomínio com código malicioso for o primeiro recebido pelo servidor web é considerado válido, e fornece a sessão ao utilizador e, por conseguinte, ao atacante.
Existem algumas formas de poder minimizar estes ataques e que o ajudam a manter-se protegido. Por exemplo:
• Tenha, sempre, as configurações e as extensões do navegador atualizadas.
• Cuidado ao aceitar cookies de terceiros; em última instância, se não conhece o site, não aceite.
• Navegue pela internet em modo anónimo; pode utilizar o navegador em modo anónimo ou, se preferir, utilizar uma Rede Privada Virtual.
• Descarregue uma aplicação antispyware e confirme que está atualizada; se possível, ative a atualização automática da aplicação.
Desta forma evita que alguém controle a sua atividade na internet e receber publicidade indesejada; muitos antivírus já trazem esta função de proteção, porém,
podem não ser tão eficazes.
• Escolha se permite ou bloqueia cookies numa base site a site.
Não tem de aceitar em todos os sites que visita.
• Instale extensões de terceiros que garantem que cookies são apagados assim que sair do site.
Como pode verificar, a partir do momento em que adquire o conhecimento necessário, é fácil manter-se seguro enquanto utilizador digital e evitar intromissões ou usurpação de dados.
Continuaremos a partilhar toda informação que necessita de saber sobre este tema e por isso, no próximo artigo queremos falar-lhe do rastreamento da atividade que pode ocorrer enquanto navega pela internet e como poderá evitar, ser controlado desta forma. Não perca!