Seseorang tidak perlu mengetahui kata sandi Anda jika mereka berhasil mencuri cookie browser Anda.
Otentikasi multi-faktor menambahkan lapisan keamanan ekstra ke layanan cloud, tetapi tidak selalu mudah. Orang-orang sekarang melakukan serangan pass-the-cookie untuk menyiasati MFA dan mendapatkan akses ke layanan cloud Anda. Begitu masuk, mereka dapat mencuri, mengekstraksi, atau mengenkripsi data sensitif Anda.
Tapi apa sebenarnya serangan pass-the-cookie itu, bagaimana cara kerjanya, dan apa yang dapat Anda lakukan untuk melindungi diri darinya? Ayo cari tahu.
Apa Itu Serangan Pass-the-Cookie?
Menggunakan cookie sesi untuk melewati otentikasi disebut serangan pass-the-cookie.
Ketika pengguna mencoba masuk ke aplikasi web, aplikasi akan meminta pengguna untuk memasukkan nama pengguna dan kata sandinya. Jika pengguna telah mengaktifkan autentikasi multi-faktor, mereka harus mengirimkan faktor autentikasi tambahan seperti kode yang dikirim ke alamat email atau nomor telepon mereka.
Setelah pengguna melewati autentikasi multi-faktor, cookie sesi dibuat dan disimpan di browser web pengguna. Cookie sesi ini memungkinkan pengguna untuk tetap masuk alih-alih melalui proses otentikasi berulang kali setiap kali mereka menavigasi ke halaman baru aplikasi web.
Cookie sesi menyederhanakan pengalaman pengguna karena pengguna tidak perlu mengautentikasi ulang setiap kali mereka pindah ke halaman aplikasi web berikutnya. Tetapi cookie sesi juga menimbulkan ancaman keamanan yang parah.
Jika seseorang dapat mencuri cookie sesi dan menyuntikkan cookie tersebut ke browser mereka, aplikasi web akan mempercayai cookie sesi dan memberikan akses penuh kepada pencuri.
Jika penyerang mendapatkan akses ke akun Microsoft Azure, Amazon Web Services, atau Google Cloud Anda, mereka dapat menyebabkan kerusakan yang tidak dapat diperbaiki.
Cara Kerja Serangan Pass-the-Cookie
Inilah cara seseorang melakukan serangan pass-the-cookie.
Mengekstrak Cookie Sesi
Langkah pertama dalam melakukan serangan pass-the-cookie adalah mengekstrak cookie sesi pengguna. Ada berbagai metode yang digunakan peretas untuk mencuri cookie sesi, termasuk skrip lintas situs, pengelabuan, Serangan man-in-the-middle (MITM)., atau serangan trojan.
Aktor jahat menjual cookie sesi curian di web gelap akhir-akhir ini. Ini berarti penjahat dunia maya tidak perlu melakukan upaya untuk mengekstrak cookie sesi pengguna. Dengan membeli cookie curian, penjahat dunia maya dapat dengan mudah merencanakan serangan pass-the-cookie untuk mendapatkan akses ke data rahasia dan informasi sensitif korban.
Melewati Cookie
Setelah penyusup memiliki cookie sesi pengguna, mereka akan menyuntikkan cookie yang dicuri ke browser web mereka untuk memulai sesi baru. Aplikasi web akan berpikir bahwa pengguna yang sah memulai sesi dan memberikan akses.
Setiap browser web menangani cookie sesi secara berbeda. Cookie sesi yang disimpan di Mozilla Firefox tidak dapat dilihat oleh Google Chrome. Dan ketika pengguna keluar, cookie sesi akan kedaluwarsa secara otomatis.
Jika pengguna menutup browser tanpa keluar, cookie sesi mungkin dihapus tergantung pada pengaturan browser Anda. Peramban web tidak boleh menghapus kuki sesi jika pengguna telah menyetel peramban untuk melanjutkan dari bagian terakhir yang ditinggalkannya. Ini berarti keluar adalah cara yang lebih andal untuk menghapus cookie sesi daripada mematikan browser tanpa keluar dari aplikasi web.
Cara Mengurangi Serangan Pass-the-Cookie
Berikut adalah beberapa cara untuk mencegah serangan pass-the-cookie.
Terapkan Sertifikat Klien
Jika Anda ingin melindungi pengguna Anda dari serangan pass-the-cookie, memberi mereka token persisten bisa menjadi ide yang bagus. Dan token ini akan dilampirkan ke setiap permintaan koneksi server.
Anda dapat mewujudkannya dengan menggunakan sertifikat klien yang disimpan di sistem untuk menentukan apakah mereka memang seperti yang mereka klaim. Saat klien membuat permintaan koneksi server menggunakan sertifikat mereka, aplikasi web Anda akan menggunakan sertifikat untuk mengidentifikasi sumber sertifikat dan menentukan apakah klien harus diizinkan mengakses.
Meskipun ini adalah metode yang aman untuk melawan serangan pass-the-cookie, ini hanya cocok untuk aplikasi web yang memiliki jumlah pengguna terbatas. Aplikasi web dengan jumlah pengguna yang sangat banyak merasa cukup sulit untuk mengimplementasikan sertifikat klien.
Misalnya, situs web e-niaga memiliki pengguna di seluruh dunia. Bayangkan betapa sulitnya menerapkan sertifikat klien untuk setiap pembelanja.
Tambahkan Lebih Banyak Konteks ke Permintaan Koneksi
Menambahkan lebih banyak konteks ke permintaan koneksi server untuk memverifikasi permintaan dapat menjadi cara lain untuk mencegah serangan pass-the-cookie.
Misalnya, beberapa perusahaan memerlukan alamat IP pengguna sebelum memberikan akses ke aplikasi web mereka.
Kelemahan dari metode ini adalah penyerang dapat hadir di ruang publik yang sama, seperti bandara, perpustakaan, kedai kopi, atau organisasi. Dalam kasus seperti itu, penjahat dunia maya dan pengguna yang sah akan diberikan akses.
Gunakan Sidik Jari Peramban
Meskipun Anda biasanya menginginkannya bertahan dari sidik jari browser, ini sebenarnya dapat membantu Anda melawan serangan pass-the-cookie. Sidik jari browser memungkinkan Anda menambahkan lebih banyak konteks ke permintaan koneksi. Informasi seperti versi browser, sistem operasi, model perangkat pengguna, pengaturan bahasa pilihan, dan ekstensi browser dapat digunakan untuk mengidentifikasi konteks permintaan apa pun untuk memastikan bahwa pengguna adalah persis seperti yang mereka klaim menjadi.
Cookie telah memperoleh nama yang buruk karena sering digunakan untuk melacak pengguna, tetapi itu adalah opsi untuk menonaktifkannya. Sebaliknya, saat Anda menerapkan sidik jari browser sebagai elemen konteks identitas ke mana pun permintaan koneksi, Anda menghapus opsi pilihan, artinya pengguna tidak dapat menonaktifkan atau memblokir browser sidik jari.
Menggunakan alat pendeteksi ancaman adalah cara terbaik untuk mendeteksi akun yang digunakan dengan niat jahat.
Alat keamanan siber yang baik akan secara proaktif memindai jaringan Anda dan memberi tahu Anda tentang aktivitas yang tidak biasa sebelum dapat menyebabkan kerusakan yang signifikan.
Perkuat Keamanan untuk Mengurangi Serangan Pass-the-Cookie
Serangan pass-the-cookie adalah ancaman keamanan yang parah. Penyerang tidak perlu mengetahui nama pengguna, kata sandi, atau faktor autentikasi tambahan lainnya untuk mengakses data. Mereka hanya perlu mencuri cookie sesi Anda, dan mereka dapat memasuki lingkungan cloud Anda dan mencuri, mengenkripsi, atau mengekstraksi data sensitif.
Lebih buruk lagi, dalam beberapa kasus, seorang peretas dapat melakukan serangan pass-the-cookie bahkan ketika pengguna telah menutup browser mereka. Jadi, penting bagi Anda untuk mengambil langkah-langkah keamanan yang diperlukan untuk mencegah serangan pass-the-cookie. Selain itu, beri tahu pengguna Anda tentang serangan kelelahan MFA di mana peretas mengirimkan rentetan pemberitahuan push kepada pengguna untuk melemahkan mereka.