Πως οι κυβερνοεγκληματίες μπορούν να εκμεταλλευτούν τα cookies

Τα cookies βρίσκονται σε κάθε μεριά του διαδικτύου με αποτέλεσμα να αποθηκεύονται όλο και περισσότερα δεδομένα σας.

Συνήθως σας δίνεται η επιλογή να αποδεχτείτε όλα τα cookies, να αποδεχτείτε μόνο τα απαραίτητα ή να τα απορρίψετε εντελώς. Όποια επιλογή κι αν κάνετε, πιθανότατα δεν θα παρατηρήσετε καμία διαφορά και η ειδοποίηση εξαφανίζεται από την οθόνη.

Όταν επισκέπτεστε έναν ιστότοπο, αυτός στέλνει ένα cookie στο πρόγραμμα περιήγησής σας. Πρόκειται για ένα μικρό αρχείο κειμένου που περιέχει δεδομένα για εσάς, το σύστημά σας και τις ενέργειες που πραγματοποιήσατε στον ιστότοπο. Το πρόγραμμα περιήγησής σας αποθηκεύει αυτά τα δεδομένα στη συσκευή σας και τα στέλνει πίσω στον server κάθε φορά που επιστρέφετε στον ιστότοπο.

Αυτό απλοποιεί την αλληλεπίδρασή σας με τον ιστότοπο: δεν χρειάζεται να συνδέεστε σε κάθε σελίδα ξεχωριστά. Oι ιστότοποι θυμούνται τις ρυθμίσεις εμφάνισής σας, τα ηλεκτρονικά καταστήματα κρατούν τα προϊόντα στο καλάθι σας, οι streaming πλατφόρμες γνωρίζουν σε ποιο επεισόδιο σταματήσατε να παρακολουθείτε — τα οφέλη είναι αμέτρητα. Τα cookies μπορούν να αποθηκεύουν το όνομα χρήστη σας, τον κωδικό πρόσβασης, προσωπικά στοιχεία, αριθμό τηλεφώνου, διεύθυνση κατοικίας, τραπεζικά στοιχεία και το αναγνωριστικό συνεδρίας (session ID).

Cookies και αναγνωριστικό συνεδρίας

Το αναγνωριστικό συνεδρίας είναι ένας μοναδικός κωδικός που αποδίδεται σε κάθε χρήστη όταν συνδέεται σε έναν ιστότοπο. Αν κάποιος τρίτος καταφέρει να υποκλέψει αυτόν τον κωδικό, ο server θα τον θεωρήσει νόμιμο χρήστη. Ένα απλό παράδειγμα: φανταστείτε ότι μπορείτε να μπείτε στο γραφείο σας με μια ηλεκτρονική κάρτα που έχει έναν μοναδικό κωδικό. Αν κάποιος κλέψει την κάρτα σας, ο κλέφτης —είτε σας μοιάζει είτε όχι— μπορεί να ανοίξει οποιαδήποτε πόρτα έχετε πρόσβαση χωρίς πρόβλημα. Εν τω μεταξύ, το σύστημα ασφαλείας θα πιστεύει ότι είστε εσείς.

Σας θυμίζει σκηνή από αστυνομική σειρά; Το 2023, χάκερς απέκτησαν πρόσβαση και στα τρία κανάλια YouTube του γνωστού tech blogger Linus Sebastian – το “Linus Tech Tips” και δύο άλλα κανάλια του Linus Media Group με δεκάδες εκατομμύρια συνδρομητές — και το έκαναν ακριβώς με αυτόν τον τρόπο.

Τα cookies μπορούν να ταξινομηθούν ανάλογα με τον χρόνο και τον τρόπο αποθήκευσης, την προέλευση και τη σημασία τους. Τα προσωρινά ή cookies συνεδρίας (session cookies) χρησιμοποιούνται μόνο όσο είστε στον ιστότοπο και διαγράφονται μόλις φύγετε. Τα μόνιμα cookies (persistent cookies) παραμένουν στη συσκευή σας μετά την αποχώρηση και συνήθως διαρκούν περίπου έναν χρόνο. Τα first-party cookies δημιουργούνται από τον ίδιο τον ιστότοπο, ενώ τα cookies τρίτων συλλέγονται από εξωτερικές πλατφόρμες.

Τα απαραίτητα cookies υποστηρίζουν βασικές λειτουργίες του ιστότοπου, ενώ τα προαιρετικά cookies χρησιμοποιούνται για την παρακολούθηση της συμπεριφοράς των χρηστών και την εξατομίκευση των διαφημίσεων. Ειδικοί τύποι, όπως τα supercookies και τα evercookies, αποθηκεύουν δεδομένα με μη συμβατικούς τρόπους, που τους επιτρέπουν να αποφεύγουν τη διαγραφή ή να αποκαθίστανται μέσω JavaScript.

Δελεαστικοί στόχοι για τους χάκερ

Τα cookies που περιέχουν αναγνωριστικό συνεδρίας είναι οι πιο δελεαστικοί στόχοι για τους χάκερ. Η κλοπή ενός αναγνωριστικού συνεδρίας είναι γνωστή ως «κατάληψη συνεδρίας» (session hijacking). Η παρακολούθηση συνεδρίας (session sniffing) συμβαίνει σε ιστότοπους που χρησιμοποιούν HTTP αντί για HTTPS, επιτρέποντας σε κακόβουλους δράστες να υποκλέψουν την κίνηση και να εξαγάγουν cookies.

Το cross-site scripting (XSS) επιτρέπει στους επιτιθέμενους να εισάγουν κακόβουλα σενάρια σε έναν ιστότοπο, αποκτώντας πλήρη πρόσβαση στα cookies. Το cross-site request forgery (CSRF) εξαπατά τον browser ενός πιστοποιημένου χρήστη ώστε να εκτελεί ενέργειες εν αγνοία του. Αναγνωριστικά συνεδρίας που είναι προβλέψιμα μπορούν να «παρακαμφθούν» εάν οι ιστότοποι τα παράγουν με αδύναμους αλγόριθμους. Άλλες μέθοδοι περιλαμβάνουν το session fixation, το cookie tossing και τις επιθέσεις man-in-the-middle.

Ωστόσο, υπάρχουν πράγματα που όλοι μπορούμε να κάνουμε για να παραμείνουμε ασφαλείς στο διαδίκτυο:

•  Εισάγετε προσωπικά δεδομένα μόνο σε ιστότοπους που χρησιμοποιούν το πρωτόκολλο HTTPS. Αν δείτε «HTTP» στη γραμμή διεύθυνσης, μην αποδεχθείτε cookies και μην μοιραστείτε ευαίσθητες πληροφορίες όπως ονόματα χρήστη, κωδικούς ή στοιχεία πιστωτικών καρτών.
•  Δώστε προσοχή στις ειδοποιήσεις του προγράμματος περιήγησης. Αν δείτε προειδοποίηση για μη έγκυρο ή ύποπτο πιστοποιητικό ασφαλείας όταν επισκέπτεστε έναν ιστότοπο, κλείστε τη σελίδα αμέσως.
•  Ενημερώνετε τακτικά το πρόγραμμα περιήγησής σας ή ενεργοποιήστε τις αυτόματες ενημερώσεις. Αυτό σας προστατεύει από πιθανά κενά ασφαλείας.
•  Καθαρίζετε τακτικά τα cookies και την κρυφή μνήμη (cache) του προγράμματος περιήγησης. Έτσι αποτρέπεται η εκμετάλλευση αρχείων cookies και αναγνωριστικών συνεδρίας που ενδέχεται να έχουν διαρρεύσει. Τα περισσότερα προγράμματα περιήγησης έχουν ρύθμιση για αυτόματη διαγραφή αυτών των δεδομένων όταν τα κλείνετε.
•  Μην ακολουθείτε ύποπτους συνδέσμους. Ιδίως όσους λαμβάνετε από αγνώστους μέσω εφαρμογών μηνυμάτων ή email.
•  Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) όπου είναι δυνατόν.
•  Απορρίπτετε την αποδοχή όλων των cookies σε όλους τους ιστότοπους. Η αποδοχή όλων δεν είναι η καλύτερη στρατηγική. Πολλοί ιστότοποι προσφέρουν πλέον την επιλογή αποδοχής όλων ή μόνο των απαραίτητων cookies. Όποτε είναι δυνατόν, επιλέγετε το «μόνο απαραίτητα cookies», καθώς αυτά είναι που χρειάζεται ο ιστότοπος για να λειτουργήσει σωστά.
•  Συνδεθείτε σε δημόσια δίκτυα Wi-Fi μόνο ως έσχατη λύση. Συνήθως έχουν ανεπαρκή προστασία, κάτι που εκμεταλλεύονται οι επιτιθέμενοι. Αν χρειαστεί να συνδεθείτε, αποφύγετε να εισέρχεστε σε κοινωνικά δίκτυα ή εφαρμογές ανταλλαγής μηνυμάτων, να χρησιμοποιείτε ηλεκτρονική τραπεζική ή να αποκτήσετε πρόσβαση σε άλλες υπηρεσίες που απαιτούν πιστοποίηση.