Кибератаки вида «перехват сеанса» и способы их нейтрализации
По мере того как цифровизация все глубже проникает во все сферы современного общества, а повседневная жизнь людей интегрируется с высокими технологиями, киберпреступный мир также подстраивается, совершенствуется его инструментарий, «шлифуются» методики. Сегодня в нашей статье расскажем о кибератаках вида «перехват сеанса» и способах их нейтрализации.
Выбрать раздел:
Угрозы кибербезопасности
За последние несколько лет ландшафт угроз кибербезопасности сильно изменился. Методы и средства киберзащиты в сети переходят от традиционных систем парольной защиты к технологии Passkey, которая исключает пароль из процесса аутентификации и авторизации – вместо него пользователю достаточно ввести пин-код, графический ключ или воспользоваться биометрией, что обеспечивает достаточную надёжность и удобство для него.
При каждом подключении к сайту или приложению по протоколу HTTP сервис аутентифицирует пользователя (например, по логину и паролю) и только после этого открывает канал связи и предоставляет доступ. Однако HTTP-подключения сами по себе не отслеживают данные о состоянии, то есть воспринимают каждое действие пользователя отдельно от других действий. И если полагаться исключительно на протокол HTTP, то приходилось бы вводить учетные данные при каждом переходе на новую страницу или совершении других действий на сайте. Сеанс хранит информацию о состоянии пользователя на сервере, что позволяет передавать данные между страницами и хранить их даже после перезагрузки страницы.
Одновременно появляется такая уязвимость безопасности как перехват сеанса (session hijacking), в связи с чем, большое значение приобретает защита от кибератак, включающих попытки злоумышленников получить несанкционированный доступ к активному сеансу пользователя.
Перехват сеанса – это атака, во время которой злоумышленник перехватывает управление сеансом пользователя. Её еще называют перехватом cookie-файлов или перехватом TCP-соединения (протокола управления передачей).
О том, что такое cookie-файлы, какие функции они выполняют, какие угрозы несут и как от них защититься Вы можете узнать в нашем Telegram. В сообществе представлены различные материалы из мира информбезопасности, тематические переводы и актуальные новости — подписывайтесь.
Ярким примером такого рода атак явился, так называемый Zoom-бомбинг. Во время и после пандемии Covid-19 огромную популярность набрали приложения для видеоконференций, такие как Zoom, атаками на которые часто пользуются злоумышленники (отсюда появился специальный термин – Zoom-бомбинг). Преступники взламывают каналы связи, по которым осуществляется видеоконференция, и осуществляют своё аудио и видео сопровождение, выкрикивая непристойные и оскорбительные фразы и отправляя в чат изображения порнографического характера.
К основным видам перехвата сеанса относятся:
Межсайтовый скриптинг – атака, во время которой преступник эксплуатирует пробелы в безопасности веб-сервера или приложения и внедряет скрипты в веб-страницы. В результате этих действий он извлекает из браузера ключ сеанса для дальнейшего перехвата.
Взлом на стороне сеанса (или прослушивание сеанса) – попытка получить доступ к сетевому трафику пользователя. Это возможно, если использовать незащищенную сеть Wi-Fi, а также в результате атаки типа «Человек посередине» (Man-in-the-Middle). Для взлома злоумышленник использует метод прослушивания пакетов: он следит за сетевым трафиком жертвы, ожидая начала сеанса, после чего перехватывает cookie-файлы и устанавливает контроль над сеансом.
Фиксация сеанса – создание идентификатора сеанса и подбор способа заставить пользователя начать сеанс с этим же именем. Например, преступник отправляет сообщение со ссылкой на страницу входа на сайт, который интересует мошенника. Пользователь входит на неё с поддельным идентификатором, что позволяет преступнику остаться незамеченным и атаковать сайт-жертву.
Атака типа Man-in-the-Browser
Она имеет много общего с атакой типа Man-in-the-Middle, только в этом случае злоумышленник сначала отправляет троянскую программу на компьютер жертвы. Вредоносная программа активируется, когда пользователь переходит на нужный сайт. Она способна незаметно изменить сведения о группе последовательных операций с базой данных и даже инициировать новые транзакции втайне от пользователя. Поскольку запросы поступают с компьютера жертвы, веб-сервис не может определить, что за ними стоит мошенник.
Предсказуемый идентификатор сеанса
Для генерации идентификаторов сеансов многие веб-серверы используют собственные алгоритмы или готовые шаблоны. Чем более предсказуемым является идентификатор сеанса, тем он слабее. Для того чтобы вычислить очередной идентификатор сеанса, злоумышленнику бывает достаточно перехватить несколько других имен и проанализировать шаблон. Этот метод похож на атаку методом перебора.
Механизм кибератаки типа перехват сеанса (session hijacking) состоит в следующем. На начальном этапе пользователь входит в свою учетную запись, например в онлайн-банке, интернет-магазине, приложении или на электронном портале как обычно. Браузер создает временный файл сеанса – cookie-файл. Этот файл содержит информацию о пользователе, которая позволяет ему оставаться в системе, и отслеживает его активность во время сеанса. Он сохраняется до тех пор, пока пользователь не выйдет из учетной записи или пока сеанс не завершится автоматически по истечении настроенного на сервере периода бездействия.
Далее злоумышленник получает доступ к активному сеансу пользователя одним из перечисленных выше способом. Например, он может украсть cookie-файл, найти в нем идентификатор сеанса и воспользоваться этой информацией для его перехвата.
На завершающем этапе атака начинает приносить выгоду злоумышленнику. Легитимный пользователь продолжает свой веб-сёрфинг, а киберпреступник тем временем использует его активный сеанс в своих целях.
Такие атаки обычно происходят в сетях с интенсивным трафиком, где одновременно открыто большое количество сеансов. Это позволяет злоумышленникам эксплуатировать сразу несколько сеансов и повышает их шансы остаться незамеченными, в оживленной сети обнаружить их крайне сложно.
Последствия атаки session hijacking:
– кража идентификационных данных – получив несанкционированный доступ к личным данным, сохраненным в учетных записях, злоумышленники могут воспользоваться ими за пределами взломанного сайта или приложения;
– кража денег – перехват сеанса позволяет злоумышленникам выполнять транзакции от имени пользователя, например, выводить деньги с банковского счета или делать покупки на сайтах, которые хранят платежные данные;
– заражение вредоносным программным обеспечением – заполучив идентификатор сеанса, злоумышленник может заразить устройство пользователя вредоносным ПО, получить контроль над компьютером и украсть важные данные;
– DoS-атаки (атаки типа «отказ в обслуживании») – получив контроль над сеансом пользователя, преступник может начать DoS-атаку на сайт или сервер, к которому он подключен. Это может привести к сбоям в работе сервиса или временной недоступности сайта;
– доступ к другим системам через службу единого входа (single sign-on, SSO). Киберпреступник может получить несанкционированный доступ сразу к нескольким сервисам через SSO, что еще больше повышает риск атаки с перехватом сеанса. Это особенно важно учитывать организациям, которые внедрили эту технологию для удобства сотрудников. Так как даже неприступные на первый взгляд системы с надежными протоколами аутентификации, например системы для обработки финансовой и клиентской информации, защищены ровно настолько, насколько защищено их самое слабое звено.
Использование передовых вредоносных программ и фишинговых схем позволяет хакерам расширить свои возможности и методы атак по обходу сложных механизмов аутентификации пользователей. Появление искусственного интеллекта в сфере киберпреступности значительно расширило возможности мошенников при проведении атак с перехватом сеансов. Так, фишинговые схемы, управляемые ИИ, позволяют проводить высоко персонализированные и убедительные атаки, повышая риск компрометации пользователями своих учетных данных сеанса. Кроме того, алгоритмы искусственного интеллекта могут быстро выявлять и использовать уязвимости безопасности в сетях, облегчая доступ для перехвата сеанса. Более того, искусственный интеллект может использоваться для имитации законного поведения пользователей, что затрудняет обнаружение таких нарушений и позволяет мошенникам сохранять контроль над сеансами в течение длительных периодов.
В сфере биометрической безопасности методика синтеза изображения или голоса, основанная на ИИ (deepfake) представляют собой проблему, потенциально позволяющую обойти сложные меры аутентификации. Наконец, манипулирование искусственным интеллектом и моделями машинного обучения сами по себе могут предоставить мошенникам преимущество, позволяя им оставаться незамеченными, нарушая целостность цифровых систем. Этот технологический подъем требует более динамичного и продвинутого подхода к кибербезопасности для эффективного противодействия этим развивающимся угрозам.
Основными способами нейтрализации атак перехвата сеанса является использование следующих рекомендаций:
- Минимальное пользование публичными сетями Wi-Fi, стараться не совершать важных транзакций в них – не пользоваться банковскими приложениями, не делать покупок и не входить в учетные записи электронной почты или социальных сетей. Если без публичного Wi-Fi не возможно обойтись, использовать технологию VPN (виртуальная частная сеть), чтобы повысить безопасность и защитить сеанс от перехвата. VPN передает трафик по защищенному туннелю, скрывая IP-адрес и обеспечивая приватность в сети, а также шифрует данные, которые генерируются при их приёме-передаче.
- Быть внимательным при переходе по ссылкам в электронных письмах – если нет уверенности в надежности отправителя, не переходить по ним. Есть риск установить на устройство вредоносную программу или перейти на сайт, который использует идентификатор сеанса, сфабрикованный мошенником.
- Пользоваться только надежными сайтами – адреса таких сайтов начинаются с HTTPS – буква S означает «безопасный» (secure). Сомнительные сайты и сервисы могут иметь недостаточный уровень защиты, оставляя пользователей уязвимыми для перехвата сеансов.
- Использовать современное антивирусное программное обеспечение, защищающее, в том числе от программ, которые используются для перехвата сеансов. Также необходимо настроить автоматическое обновление приложений на всех устройствах.
Кроме того, значимым средством нейтрализации угроз от кибератак session hijacking является применение методов биометрической аутентификации, которая представляет собой один из способов, обеспечивающих кибербезопасность в сочетании с ориентированностью на пользователя. Однако он будет неэффективным, если неприкосновенность самого сеанса останется без защиты.
Решение проблемы рассматриваемой уязвимости заключается во внедрении сеансов, привязанных к устройству, в сочетании с усовершенствованными механизмами обнаружения обмана. Сеансы с привязкой к устройству гарантируют, что аутентифицированный доступ неразрывно связан с устройством пользователя. Киберзащита с использованием таких технологий, как снятие отпечатков пальцев с устройств, действует как цифровая защита, позволяющая распознавать и нейтрализовать аномальные действия во время сеансов.
Усиление защиты от перехвата сеансов видится в сочетании передовых методов снятия отпечатков пальцев и поведенческого анализа, которыми будут пользоваться различные компании. Снятие отпечатков пальцев с устройства позволит собирать конкретные данные, такие как операционная система и тип браузера, для создания отдельного профиля устройства. Отклонения от этого установленного профиля во время сеанса могут быть четким индикатором попытки взлома.
Сетевая идентификация, особенно с упором на уровне криптографического протокола, обеспечивающего защищённую передачу данных между узлами в сети Интернет (Transport Layer Security, TLS), тщательно изучает уникальные характеристики пользовательских конфигураций и шаблонов TLS, выявляя подозрительные изменения, которые могут указывать на несанкционированный доступ. Аппаратная идентификация расширяет этот контроль до аппаратного уровня, исследуя идентификаторы процессора и устройства для обнаружения более сложной подделки.
Наряду с этими методами поведенческий анализ должен позволить отслеживать шаблоны взаимодействия с пользователем, такие как динамика нажатий клавиш и движений мыши, для точного выявления аномалий. Интеграция этих методов с обнаружением отклонений на основе искусственного интеллекта и регулярными проверками многофакторной аутентификации позволит создать надежную и динамичную систему защиты, способную выявлять и смягчать угрозы перехвата сеанса.
Лидерами из числа компаний-производителей, использующих в своих продуктах инструменты аутентификации без пароля (технологии Passkey), являются американские Okta, JumpCloud и шведская Yubico. Кроме того, на этом рынке значительную долю занимают такие фирмы, как 1Kosmos, Beyond Identity, ForgeRock, HYPR, Ivanti, Ping Identity, RSA Security, Sentrycard Technologies, Stytch, Trusona (США), канадская OpenText и британская Keyless. Все они предоставляют комплексные решения для идентификации клиентов и сотрудников, включающие ряд функций, таких как многофакторная аутентификация (multi-factor authentication, MFA), единый вход (single sign-on, SSO), защиту от многих видов кибератак, управление жизненным циклом ПО и многое другое.
В частности, продукт американской компании Stytch, использует ИИ при разработке систем управления идентификацией и доступом (Identity and Access Management, IAM) и соответствующего программного обеспечения.
Её платформа является универсальным решением для предприятий по требованиям к аутентификации и безопасности пользователей, от снятия отпечатков пальцев с устройства до защиты от ботов, включает и поддерживает, в том числе:
– службу единого входа (SSO);
– управление настройками авторизации для предприятия;
– использование API и готового пользовательского интерфейса платформы для создания безопасной аутентификации без каких-либо сложностей, адаптированной к конкретному бренду, с минимальным количеством серверного кода;
– многофакторную аутентификацию;
– систему для управления междоменной идентификацией (System for Cross-Domain Identity Management, SCIM);
– аутентификацию M2M-клиента, которая позволяет службам предприятия взаимодействовать и аутентифицироваться без участия человека;
– встроенные инструменты оценки надежности пароля, для проверки уровня его надежности на соответствие рекомендациям американского Национального института стандартов и технологий (с целью исключить использование простых небезопасных конфигураций, типа qwerty).
Таким образом, в цифровой экосистеме, все больше переплетающейся с искусственным интеллектом, механизмы защиты, способные выявлять и смягчать угрозы перехвата сеанса должны обязательно входить в состав современных систем управления идентификацией и доступом. Передовые технологии аутентификации, в том числе биометрия, должны стать основой надежной защиты всего сеанса пользователя.