Cookies låter webbplatser identifiera dig när du spenderar tid online, och de är mest fördelaktiga för webbplatser som har återkommande användare. Om du någonsin har besökt en väderwebbplats och den kommer ihåg din plats baserat på ditt senaste besök, är det ett exempel på hur cookies fungerar.
När du loggar in på en webbapplikation eller webbplats, som ett socialt mediekonto eller din profil på en detaljhandelswebbplats, vet din webbläsare att du är inloggad tack vare den tillfälliga sessionen inställt av servern. Den sessionen innebär att du kan vara inloggad på sidan medan du surfar på den och klickar dig igenom olika sidor. Utan cookies skulle du behöva logga in igen varje gång du öppnar en ny sida på den webbplatsen.
Detta är bekvämt, ja, men det gör dig mer sårbar för kakkapare. Om en hackare får tillgång till ditt sessions-ID kan de besöka samma platser som du gjorde på webbplatsen och låtsas vara du.
Vad är Cookie Hijacking?
Cookie-kapning, även kallad sessionskapning, är ett sätt för hackare att komma åt och stjäla dina personuppgifter, och de kan också hindra dig från att komma åt vissa konton.
Att kapa cookies är lika kraftfullt, ibland mer, som att ta reda på ditt lösenord. Det är möjligt att hackare kan få obegränsad tillgång till alla dina resurser med cookie-kapning. Till exempel kan en angripare stjäla din identitet eller konfidentiell företagsdata; köpa föremål; eller stjäl från ditt bankkonto.
Hur fungerar cookie-kapning?
Cookie-kapning kan inträffa när ett skadlig program väntar på att en användare ska logga in på webbplatsen. Sedan stjäl skadlig programvara sessionscookien och skickar den till angriparen.
En cookie-attack initieras ofta när en angripare skickar en falsk inloggning till en användare. Offret klickar på den falska länken, vilket låter angriparen stjäla kakan – faktiskt, allt användaren skriver in kan fångas av angriparen. Angriparen lägger sedan den cookien i sin webbläsare och kan agera som du.
Ibland behövs inte ens en falsk länk. Om en användare är i en session på en osäkrad, offentlig Wi-Fi-anslutning kan hackare enkelt stjäla den data som färdas genom anslutningen. Och detta kan hända även om sidan är säker och ditt användarnamn och lösenord är krypterade.
När angriparen väl har en användares sessionscookie kan de logga in på en webbplats och göra i stort sett allt du kan göra, inklusive att ändra ditt lösenord. Och detta är ofta automatiserat, så det händer på bara några sekunder. Om angriparen sedan aktiverar multifaktorautentisering (MFA) mot offret, kanske de aldrig får tillgång till sina konton igen.
Eldfår
Firesheep är ett bra exempel på hur cookie-kapning ibland fungerar. Denna Firefox webbläsartillägg, skapad i oktober 2010 av kodaren Eric Butler, avlyssnade surfsessioner från användare på en delad Wi-Fi-hotspot för att hålla utkik efter sessionscookies. När den upptäckte en, skulle den avlyssna den för att ta över identiteten för den person som tillhörde den sessionen. Denna metod för cookie-kapning kallas packet sniffing.
Eldfår var inte illvilliga; det var tänkt att visa hur lätt det var att kapa cookie-sessioner från populära webbplatser när bara inloggningsprocessen, inte cookies, var krypterade. Butler visade att med en grundläggande cookie-kontroll kunde en hackare som hade tillgång till samma hotspot posera som en annan person.
Fler metoder för kapning av kakor
Det finns ett par andra cookie-kapningsmetoder att vara medveten om. Med brute force attacker, kommer hackaren att försöka gissa sessionens cookie-siffra. Detta kan ta lång tid och är inte ett särskilt effektivt alternativ för hackaren, men det är fortfarande möjligt, och det kan sätta dig i stor fara när du lyckas. Med malware-injektioner; om skadlig programvara infekterar din dator eller en webbplats du kör kan den spionera på dig och spela in webbläsarsessioner.
Hur man förhindrar kakkapning
Förebyggande av den här typen av hackning sträcker sig från att använda avancerad säkerhetsteknik till att lära dina anställda (och andra) om hot mot kakor.
MFA-skydd
Tyvärr är avancerat MFA-skydd och avancerade cookie-kapningsmetoder cykliska. När den ena förbättras, så måste den andra bli bättre. För företag och webbplatsägare kommer inte alltid att förbättra säkerheten att implementera mer MFA-skydd – det kan bara göra cookie-kapningsattackerna mer avancerade.
Det betyder inte gör det inte använd MFA överhuvudtaget – det minskar antalet attacker i vissa fall. Det största problemet är att folk fortfarande klickar på de där falska länkarna, vilket är anledningen till att utbildning är så viktigt här (mer om det om en sekund).
Vissa MFA-former är också starkare än andra. Till exempel är textbaserade autentiseringskoder svaga, medan tidsbegränsade engångslösenord är starkare.
Utbildning
Alla borde veta hur man upptäcker en falsk länk. Ofta har webbadressen en felstavning som är lätt att missa om du inte är uppmärksam. Det kan till exempel stavas ”Facebok” istället för ”Facebook”. Om du märker något sådant, klicka inte på länken.
Olika typer av MFA-lösningar kommer också med olika risker. Det är upp till företagets IT-avdelning att identifiera dessa risker. Återigen, utbildning är nyckeln.
Fler digitala hygientips
Det finns några fler sätt att begränsa risken för cookie-kapningsförsök:
- Kontrollera webbadressen: En säker webbplats bör använda HTTPS för att kryptera all trafik. Titta på URL:en för att se om den börjar med HTTPS.
- Använd endast säkra anslutningar: Undvik gratis offentligt Wi-Fi, särskilt de som inte ens har lösenordsskydd.
- Logga ut när du är klar: Logga ut när du är klar på en webbplats. Om du är online på jobbet och måste komma åt samma webbplatser flera gånger om dagen, ställ in din webbläsare så att du automatiskt loggar ut när du stänger den.
- Ta bort cookies: Rensa regelbundet dina cookies för att se till att all överbliven surfaktivitetsdata är borta.
- Använd ett VPN: För mer avancerat skydd kan du använda ett virtuellt privat nätverk, som döljer din IP-adress och dirigerar om din trafik genom en krypterad passage.
Vad WordPress-användare behöver veta om cookieskapning
Att vara säker när du surfar online är en sak. Om du äger eller driver en WordPress-webbplats måste du också skydda din egen webbplats från cookie-kapning, för att inte tala om att skydda dina besökare.
Om din webbplats faller offer för cookie-kapning kan angripare ta dina inloggningsuppgifter och dina kunders. De kan också stjäla kreditkortsinformation, bland annat personlig information. I huvudsak, om det finns en cookie-kapning på din webbplats, är alla och allt i fara. Utöver MFA, prioritera följande.
Installera en SSL-certifiering
Se till att ditt webbhotell tillhandahåller ett SSL-certifikat för din webbplats. När data överförs mellan användarens webbläsare och webbservern krypterar en SSL data så att den inte är lätt att läsa.
Använd HTTPS
Du vill inte besöka andra webbplatser utan HTTPS, och din webbplats bör följa samma standarder. Du behöver också HTTPS på mer än bara din webbplats inloggningssidor – det bör finnas på hela din webbplats.
Använd lösningar mot skadlig programvara
Varje WordPress-webbplats bör ha ett pålitligt säkerhetsplugin. Lösningar mot skadlig programvara kommer att hålla programvara för att stjäla cookies borta. Vi har en lista över bästa WordPress säkerhetsplugin för din webbplats.
Håll din webbplats uppdaterad
Varje del av din webbplats bör hållas uppdaterad, från själva WordPress-installationen till eventuella teman och plugins som du har installerat. Närhelst du kör inaktuell programvara är den sårbar för en attack.
Cookie-kapning Vanliga frågor
Vad kan hackare göra med cookies?
Mycket. Tänk på all personlig information du fyller i på webbplatser – ditt användarnamn och lösenord, din kreditkortsinformation, din adress, etc. När en hackare får tillgång till dina sessionscookies kan de i princip agera som du. Om du till exempel är inloggad på ditt bankkonto kan de göra en överföring för att tömma ditt konto och flytta pengarna till sina egna, och sedan kan de ändra lösenordet så att du inte kan komma åt bankkontot alls .
Kan du bli kapad om du accepterar cookies?
Ibland. Du är mest sårbar när du är på osäkrat och offentligt Wi-Fi, som på ett kafé eller ett köpcentrum. Det finns ingen säkerhet på Wi-Fi-anslutningen för att hindra hackare från att komma åt vad de kan. Om du måste gå online i den här typen av inställning, använd åtminstone det privata eller inkognitoläget i din webbläsare.
Hur rensar jag cookies?
De flesta webbläsare har ett alternativ för att radera din historik och data. Du bör kunna radera allt, eller så kan du välja att bara ta bort dina cookies och webbplatsdata – det är upp till dig. Du kan förmodligen också ställa in detta så att det sker automatiskt.
Sista tankar om Cookiekapning
Att skydda dig själv online går utöver att ha svåra att gissa lösenord och att radera din webbhistorik när du är klar för dagen. Du måste skydda dina sessionscookies också, även om de flesta människor inte ens inser hur sårbara detta gör dem. Cookies lagrar massor av värdefull information – all information som du försöker skydda på andra sätt.
Om du driver en organisation av vilken storlek som helst bör den definitivt använda MFA – men det är också nödvändigt att veta att det inte är ett idiotsäkert alternativ. Du behöver flera lager av säkerhet för att vara säker mot cookie-kapning, och MFA är bara ett av dessa lager. När det kommer till WordPress-webbplatsägare är det viktigt att sätta upp en så säker webbplats som möjligt för att skydda dig själv, dina anställda och dina besökare.
Det som är viktigast för att förhindra cookie-kapningsförsök är utbildning. Att göra anställda, användare och chefer medvetna om hoten, inklusive vad man ska se upp med och vad inte att göra, är viktigt.
Vill du lära dig mer? Kolla upp Vad är cookies och hur fungerar de?