Sequestro de sessão é um ataque cibernético que já existe há algum tempo. Os hackers utilizam a tecnologia subjacente da Internet para realizar esse ataque, portanto, não é provável que desapareça tão cedo. E mesmo que o sequestro de sessão seja difícil de detectar até que seja tarde demais, há algumas coisas que os usuários podem fazer para garantir que suas conexões e dados estejam seguros.
Sessões e cookies
Sempre que você fica online, o site que você está visitando e seu navegador iniciam uma sessão. Eles trocam informações para se identificarem, e o site envia um cookie de sessão (entre outros) para manter essa autenticação durante toda a sua sessão.
Cookies são pequenos arquivos que contêm informações sobre os usuários. Por exemplo, um cookie de sessão permite que uma loja online saiba o que você colocou em seu carrinho de compras mesmo depois de sair da página.
Por causa dos cookies, os formulários online oferecem sugestões com base nas coisas que você inseriu anteriormente neles. É também assim que você obtém anúncios especificamente adaptados para você: veja um par de tênis na Amazon e a imagem deles o seguirá por toda a Internet por dias.
Os cookies podem ser intrusivos, mas ainda assim são convenientes. Você não precisa fazer login toda vez que visita uma rede social, remontar seu carrinho de compras e as páginas que você visita frequentemente carregam um pouco mais rápido. Infelizmente, se você não for cuidadoso, os cookies podem causar problemas.
Como funciona o sequestro de sessão?
Em sua essência, um ataque de sequestro de sessão é um roubo de cookie. Se você fizer login em sua conta de mídia social em um computador de biblioteca, o site enviará um cookie de sessão para que você não seja desconectado na próxima página. Se alguém roubasse aquele biscoito, poderia fingir ser você e causar muitos danos.
Um invasor pode ver todas as informações da sua conta, como seu nome, e-mail, número de telefone, endereço, detalhes do cartão de crédito etc. Ele pode comprar algo e usar seu cartão para pagar ou enviar spam para sua lista de contatos com links de phishing.
Tipos de sequestro de sessão
Existem algumas maneiras diferentes de executar um ataque de sequestro de sessão:
Sessão side-jacking. Isso pode acontecer quando você se conecta a uma rede não segura, como um Wi-Fi público. Um invasor pode interceptar ou espionar uma conexão e ver o que outras pessoas na mesma rede estão fazendo online. Se o site que você estiver visitando não usar criptografia TLS, tudo o que você fizer no site ficará visível para o bisbilhoteiro — incluindo os cookies de sua sessão. Assim, o invasor pode continuar sua sessão mesmo depois de você ter se desconectado.
Falsificação de IP. É um ataque man-in-the-middle , semelhante ao side-jacking de sessão. O invasor usa essa técnica para fingir ser você desde o início. Ao tentar se conectar a um site, você precisa executar um handshake TCP . Se você estiver se conectando por meio de um Wi-Fi não seguro, o hacker entrará no meio desse aperto de mão de três vias antes da terceira etapa. Eles usarão (falsificarão) seu endereço IP para enganar o servidor e fazê-lo pensar que é você e executar a terceira parte do handshake TCP. Deste ponto em diante, eles podem receber todos os cookies e se comunicar com o site em seu nome.
Ataque de força bruta. Funciona da mesma forma que todos os ataques de força bruta . O cibercriminoso tentará todos os tokens de sessão possíveis e esperará que eles adivinhem o correto e possam assumir o controle de sua conta.
Fixação da sessão. Isso pode acontecer quando você se conecta a uma rede não segura, como um Wi-Fi público. Um invasor pode interceptar ou espionar uma conexão e ver o que outras pessoas na mesma rede estão fazendo online. Se o site que você estiver visitando não usar criptografia TLS, tudo o que você fizer no site ficará visível para o bisbilhoteiro — incluindo os cookies de sua sessão. Assim, o invasor pode continuar sua sessão mesmo depois de você ter se desconectado.
Como evitar o sequestro de sessão?
Nunca se conecte a um Wi-Fi não seguro. Use seus dados móveis enquanto relaxa em uma cafeteria – é muito mais seguro. Se você se conectar a um ponto de acesso público, não insira nenhuma informação pessoal, como credenciais de login ou detalhes do cartão de crédito.
Você viaja muito, e o Wi-Fi do aeroporto/hotel é uma parte inseparável do seu trabalho? Em seguida, use uma VPN para criptografar sua conexão com a Internet.
Verifique todos os aplicativos e softwares antes de baixá-los. Certifique-se de que o desenvolvedor é confiável e que não é uma farsa. Alguns aplicativos são projetados para parecerem reais, mas depois de instalá-los, o malware se espalha em seu dispositivo.
Obtenha uma ferramenta antimalware para proteger seus dispositivos. Ele não apenas interromperá qualquer tentativa de sequestro de sessão, mas também garantirá a segurança de seus dados e contas online.
Preste atenção on-line. Phishing e scareware dependem de nossas emoções para obscurecer nosso julgamento. Se você receber um e-mail informando que alguém tentou acessar sua conta e você deve agir agora, não basta clicar no link.
Verifique o remetente — parece um endereço de e-mail legítimo? Há algum erro de digitação no texto? As fontes parecem desligadas? Se algo parecer errado, pode ser um e-mail de phishing. Você deve abrir uma nova guia e acessar a conta supostamente invadida para ver se algo realmente aconteceu.
