Cookies sind ein wesentlicher Bestandteil des modernen Webs. Sie erleichtern Ihr Online-Erlebnis, indem sie Browsing-Informationen speichern, sodass Websites Sie eingeloggt halten und Ihre Präferenzen merken können. Aufgrund ihrer Nützlichkeit sind Cookies jedoch auch ein begehrtes Ziel für Angreifer.
Viele Nutzer im Web fallen Malware zum Opfer, die auf den Diebstahl von Cookies abzielt und Angreifern Zugang zu ihren Webkonten verschafft. Betreiber von Malware-as-a-Service (MaaS) nutzen häufig Social Engineering, um Malware zur Entwendung von Cookies zu verbreiten, und überzeugen Benutzer sogar davon, mehrere Warnungen zu ignorieren, um die Malware auf ihrem Gerät zu platzieren. Die Malware extrahiert dann typischerweise alle Authentifizierungs-Cookies aus den Browsern auf dem Gerät und überträgt sie an entfernte Server, wodurch Angreifer die kompromittierten Konten kuratieren und verkaufen können. Dieser Diebstahl von Cookies erfolgt nach dem Login, umgeht also die Zwei-Faktor-Authentifizierung und alle anderen Überprüfungen der Anmeldezeit. Zudem ist es schwer, ihn mit Antivirus-Software zu bekämpfen, da die gestohlenen Cookies weiterhin funktionieren, selbst nachdem die Malware entdeckt und entfernt wurde.
Um dieses Problem anzugehen, wird derzeit an einem neuen Webfeature namens „Device Bound Session Credentials“ (DBSC) gearbeitet, die Benutzer besser vor Cookie-Diebstahl schützen soll, mit dem Ziel, ein offener Webstandard zu werden. Jede Sitzung wird dabei durch einen einzigartigen Schlüssel unterstützt, und DBSC ermöglicht es Websites nicht, Schlüssel aus verschiedenen Sitzungen auf demselben Gerät zu korrelieren, um sicherzustellen, dass kein persistentes Nutzer-Tracking hinzugefügt wird. Der Nutzer kann die erstellten Schlüssel jederzeit löschen, indem er die Website-Daten in den Browser-Einstellungen löscht. Die Auffrischung von kurzfristigen Cookies außerhalb der Bandbreite wird nur durchgeführt, wenn ein Nutzer die Sitzung aktiv nutzt (z. B. die Website durchstöbert).
Der entwickelte Standard wird wahrscheinlich von mehreren grossen Browser Anbietern implementiert werden, laut einem Blog von Chromium, arbeitet Google schon aktiv an der Umsetzung.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: