Øktkapring og øktkapringsangrep

Å logge inn på nettsteder eller portaler er en daglig del av å bruke internett for de fleste mennesker. Hver gang du logger inn på et nettsted, opprettes en økt. En økt er kommunikasjonen mellom to systemer som forblir aktiv til brukeren avslutter kommunikasjonen. Å starte en økt er essensielt for at kommunikasjon skal skje over internett, men det åpner også opp for risikoen for økthacking. Les videre for å finne ut mer om øktkapring, hvordan det fungerer, og hvordan du kan beskytte deg selv.

Hva er øktkapring?

Øktkapring – noen ganger kalt kapring av informasjonskapsler, side-jacking av informasjonskapsler eller TCP-øktkapring – skjer når en angriper tar over din internettøkt. Dette kan skje når du handler online, betaler en regning eller sjekker saldoen i banken. Øktkaprere retter seg vanligvis mot nettlesere eller nettapplikasjoner, og målet deres er å ta kontroll over surfeøkten for å få tilgang til dine personlige opplysninger og passord.

Øktkaprere lurer nettsider til å tro at de er deg. Denne typen angrep kan ha alvorlige konsekvenser for applikasjonssikkerhet fordi det gir angripere uautorisert tilgang til beskyttede kontoer (og dataene de inneholder) ved å late som de er en legitim bruker.

Hva er en økt?

Hver gang en bruker får tilgang til en nettside eller applikasjon via en HTTP-tilkobling, autentiserer tjenesten brukeren (for eksempel via et brukernavn og passord) før den åpner kommunikasjonslinjen og gir tilgang. HTTP-tilkoblinger er imidlertid selvstendige, noe som betyr at hver handling en bruker tar blir sett på som uavhengige. Hvis vi bare stolte på HTTP, ville brukere som et resultat av dette måtte autentisere seg på nytt for hver handling de tar eller hver side de ser på.

Økter løser denne utfordringen. En økt blir opprettet på serveren som er vertskap for nettsiden eller applikasjonen så snart en bruker logger inn, og fungerer deretter som en referanse for den opprinnelige autentiseringen. Brukere kan forblir autentisert så lenge en økt forblir åpen på serveren, og de kan avslutte en økt ved å logge ut av tjenesten. Noen tjenester avslutter en økt etter en bestemt periode med inaktivitet.

Mange tjenester oppretter disse øktene ved å utstede en økt-ID, en streng av tall og bokstaver som lagres i midlertidige øktbaserte informasjonskapsler, URL-er eller skjulte felt på nettsiden. I noen, men ikke alle tilfeller, er disse økt-ID-ene kryptert. Ofte er økt-ID-er basert på forutsigbar informasjon, som for eksempel brukerens IP-adresse.

Hvordan fungerer øktkapring?

Her er et hypotetisk eksempel på hvordan øktkapring kan fungere:

Trinn 1: En internettbruker logger seg inn på en konto som normalt.

Dette kan være deres nettbank- eller kredittkortkonto, en nettbutikk, en applikasjon eller portal. Applikasjonen eller nettsiden installerer en midlertidig øktbasert informasjonskapsel i brukerens nettleser. Informasjonskapselen inneholder informasjon om brukeren som gjør at nettstedet kan opprettholde brukerens autentisering og innlogging og spore deres aktivitet i løpet av økten. Den øktbaserte informasjonskapselen blir i nettleseren til brukeren logger ut (eller blir automatisk logget ut etter en bestemt periode med inaktivitet).

Trinn 2: En kriminell får tilgang til internettbrukerens gyldige økt.

Nettkriminelle bruker ulike metoder for å stjele økter. Øktkapring innebærer ofte å stjele brukerens øktbaserte informasjonskapsel, finne økt-ID-en i informasjonskapselen og bruke den informasjonen til å ta over økten. Økt-ID-en er også kjent som en øktnøkkel. Når kriminelle får tak i økt-ID-en, kan de ta over økten uten å bli oppdaget.

Trinn 3: Øktkapreren får en belønning for å stjele økten.

Når den opprinnelige internettbrukeren har fortsatt sin nettaktivitet, kan kapreren bruke den pågående økten til å utføre ulike skadelige handlinger. Dette kan inkludere å stjele penger fra brukerens bankkonto, kjøpe varer, skaffe personlige data for å begå identitetstyveri, eller kryptere viktige data og deretter kreve løsepenger for å gi dem tilbake.

Øktkapringsangrep blir vanligvis utført mot travle nettverk med et høyt antall aktive kommunikasjonsøkter. Dette gir angriperen et stort antall økter å utnytte og gir angriperen en grad av beskyttelse – fordi antall aktive økter på serveren gjør det mindre sannsynlig at de blir oppdaget.

Ulike typer øktkapring

Cross-site scripting
Et cross-site scripting-angrep innebærer at nettkriminelle utnytter svake punkter i sikkerheten til en webserver eller applikasjon. Cross-site scripting innebærer at en angriper injiserer skript i nettsider. Disse skriptene får nettleseren din til å avsløre øktnøkkelen din til angriperen, slik at de kan ta over økten.

Side-jacking av økt (også kjent som øktavlytting)
I denne typen angrep trenger en kriminell tilgang til en brukers nettverkstrafikk. De kan få tilgang når brukeren bruker usikret Wi-Fi eller ved å utføre såkalte mellommann-angrep. Under side-jacking av økt, benytter en kriminell seg av pakkeavlytting for å overvåke en internettbrukers nettverkstrafikk for å søke etter økter. Dette gir angriperen muligheten til å skaffe en øktbasert informasjonskapsel og bruke den til å ta over økten.

Øktfiksering
I et øktfikseringsangrep oppretter den kriminelle en økt-ID og lurer brukeren til å starte en økt med den. Dette kan oppnås ved å sende en e-post til brukeren med en kobling til en påloggingsside for nettstedet som angriperen ønsker å få tilgang til. Brukeren logger seg inn med den falske økt-ID-en, og gir dermed angriperen en fot innenfor.

Man-in-the-browser-angrep
Dette ligner på et mellommann-angrep, men angriperen må først infisere offerets datamaskin med et trojansk program. Når offeret er narret til å installere skadelig programvare på systemet, venter den skadelige programvaren på at offeret skal besøke et ønsket nettsted. Den skadelige man-in-the-browser-programvaren kan usynlig endre transaksjonsinformasjon og kan også opprette ekstra transaksjoner uten at brukeren vet det. Fordi forespørslene blir initiert fra offerets datamaskin, er det veldig vanskelig for nettjenesten å oppdage at forespørslene er falske.

Forutsigbare økt-token-ID-er
Mange webservere bruker en tilpasset algoritme eller forhåndsdefinert mønster for å generere økt-ID-er. Jo mer forutsigbar en økt-token er, desto svakere er den. Hvis angripere kan fange flere ID-er og analysere mønsteret, kan de kanskje forutsi en gyldig sesjons-ID (denne tilnærmingen kan sammenlignes med et brute force-angrep).

En kvinne logger seg på en nettbank

Hva er forskjellen mellom øktkapring og spoofing av økt?

Øktkapring og spoofing av økt har ting til felles, men de er ikke samme type angrep. Den viktigste forskjellen er at øktkapring skjer når en legitim bruker allerede er logget inn i en nettøkt. Derimot skjer spoofing av økt når angripere later som de er en bruker for å starte en ny nettøkt (dette betyr at brukeren ikke nødvendigvis må være logget inn på det tidspunktet).

Denne forskjellen betyr at legitime brukere opplever angrepene på forskjellige måter. Med øktkapring kan en angriper som avbryter økten gjøre slik at nettsiden eller applikasjonen oppfører seg unormalt eller til og med krasjer for offeret. Fordi brukeren ikke er aktivt logget inn under spoofing av en økt, vil de imidlertid ikke oppleve noen forstyrrelse under neste økt.

Følger av øktkapringsangrep

Det er mange risikoer knyttet til å ikke ta skritt for å forhindre øktkapring. Noen av disse farene inkluderer:

Identitetstyveri

Ved å få uautorisert tilgang til sensitiv personlig informasjon som er lagret i kontoer, kan angripere stjele offerets identitet også utenfor den hackede nettsiden eller applikasjonen.

Økonomisk tyveri

Gjennom øktkapring kan angripere få evnen til å gjennomføre økonomiske transaksjoner på vegne av brukeren. Dette kan innebære å overføre penger fra en bankkonto eller gjøre kjøp med lagret betalingsinformasjon.

Skadevareinfeksjon

Hvis en hacker kan stjele en brukers økt-ID, kan de også være i stand til å infisere brukerens datamaskin med skadelig programvare. Dette kan tillate dem å få kontroll over måldatamaskinen og stjele dataene deres.

Tjenestenektangrep (DoS)

En hacker som får kontroll over en brukers økt kan kjøre et tjenestenektangrep mot nettsiden eller serveren de er tilkoblet, forstyrre tjenesten eller føre til at nettstedet krasjer.

Tilgang til ekstra systemer gjennom SSO

SSO står for «single sign on.» Angripere kan også få uautorisert tilgang til ekstra systemer hvis SSO er aktivert, noe som ytterligere sprer potensiell risiko for et øktkapringsangrep. Denne risikoen er særlig viktig for organisasjoner, og mange av dem har nå aktivert SSO for ansatte. Til syvende og sist betyr dette at selv svært beskyttede systemer med sterke autentiseringsprotokoller og mindre forutsigbare øktbaserte informasjonskapsler, som de som inneholder finansiell eller kundeinformasjon, bare kan være like beskyttet som det svakeste leddet i hele systemet.

Eksempler på øktkapringsangrep

Zoombombing
Under Covid-19-pandemien vendte verden seg til videokonferanseapper som Zoom. Disse appene ble et populært mål for øktkaprere, og fikk til og med kallenavnet «zoombombing.» Det var nyhetsrapporter om at øktkaprere ble med i private videoøkter og i noen tilfeller ropte skjellsord, hatefulle kommentarer og delte pornografiske bilder. Som svar på dette innførte Zoom større personvernbeskyttelse for å minimere risikoen.

Slack
I 2019 identifiserte en forsker på en «bug bounty»-plattform en sårbarhet i Slack som tillot angripere å tvinge brukere inn i falske omdirigeringer av økten, slik at de kunne stjele deres øktbaserte informasjonskapsler. Dette ga angripere tilgang til all data som ble delt i Slack (noe som for mange organisasjoner kan være betydelig). Slack reagerte raskt og rettet sårbarheten innen 24 timer etter at forskeren påpekte den.

GitLab

I 2017 identifiserte en sikkerhetsforsker en sårbarhet i GitLab der brukernes økt-tokener var tilgjengelige direkte i URL-en. Videre undersøkelse avslørte at GitLab også brukte øktbaserte tokener som aldri utløp, noe som betydde at angripere som skaffet seg en økt-token, kunne bruke den uten at den utløp. Denne kombinasjonen av åpen eksponering og vedvarende tokener utgjorde en alvorlig risiko og åpnet for ulike alvorlige angrep gjennom øktkapring via brute force-angrep. GitLab løste sårbarheten ved å endre hvordan de brukte og lagret disse tokenene.

Slik forhindrer du øktkapring

Følg disse tipsene for å forebygge øktkapring og øke din sikkerhet på nettet:

Unngå offentlig Wi-Fi
Unngå å utføre viktige transaksjoner som bank, netthandel eller innlogging på e-post- eller sosiale mediekontoer på offentlig Wi-Fi. Det kan være en nettkriminell i nærheten som benytter seg av pakkeavlytting for å prøve å fange opp øktbaserte informasjonskapsler og annen informasjon.

Bruk et VPN
Hvis du må bruke offentlig Wi-Fi, bruk et Virtual Private Network (VPN) for å maksimere sikkerheten og hindre at øktkaprere får tilgang til dine økter. Et VPN skjuler din IP-adresse og holder dine nettaktiviteter private ved å opprette en privat tunnel som all din nettaktivitet går gjennom. Et VPN krypterer dataene du sender og mottar.

Vær oppmerksom på phishing og annen nettsvindel
Unngå å klikke på lenker i e-poster med mindre du vet at de er fra en legitim avsender. Øktkaprere kan sende deg en e-post med en lenke du skal klikke på. Lenken kan installere skadelig programvare på enheten din eller føre deg til en påloggingsside som logger deg inn på en nettside ved hjelp av en økt-ID forberedt av angriperen.

Vær oppmerksom på nettstedsikkerhet
Anerkjente banker, e-postleverandører, nettbutikker og sosiale medienettsteder har sikkerhetstiltak på plass for å unngå øktkapring. Se etter nettsteder hvis URL begynner med HTTPS – S står for «sikker.» Å bruke tvilsomme nettbutikker eller andre tjenesteleverandører som kanskje ikke har robust sikkerhet, kan gjøre deg sårbar for et øktkapringsangrep.

Bruk antivirusprogramvare
Installer anerkjent antivirusprogramvare som enkelt kan oppdage virus og beskytte deg mot alle typer skadelig programvare (inkludert den skadelige programvaren angripere bruker for å utføre øktkapring). Hold systemene dine oppdaterte ved å velge automatisk oppdatering på alle enhetene dine.

Relaterte produkter:

Videre lesning: