Warum sind sie für Hacker interessant und welche Bedrohungen gehen von ihnen aus?
Im Dark Web wurden mehr als 54 Milliarden Cookies geleakt. Dies geht aus einer aktuellen Studie hervor, die von unabhängigen Forschern durchgeführt und von NordVPN veröffentlicht wurde. Während Cookies meist als unverzichtbares Werkzeug für das Surfen bekannt sind, ist vielen nicht bewusst, dass Cookies zu einem der wichtigsten Werkzeuge für Hacker geworden sind, um Daten zu stehlen und Zugang zu sensiblen Systemen zu erhalten.
„Dank der Popup-Fenster zur Cookie-Einwilligung betrachten wir Cookies als einen notwendigen, wenn auch lästigen Teil des Surfens im Internet. Vielen ist jedoch nicht bewusst, dass ein Hacker, der die aktiven Cookies in die Hände bekommt, keine Logins, Passwörter oder sogar MFA kennen muss, um Zugang zu den Konten zu erhalten“, sagt Adrianus Warmenhoven, Experte für Cybersicherheit bei NordVPN.
Wie funktionieren Cookies und welche Risiken bestehen bei gestohlenen Cookies?
Um die eigentliche Bedrohung zu erklären, erklärt ein NordVPN-Experte, wie Cookies funktionieren:
„Zunächst einmal ist es wichtig zu verstehen, dass die Verwendung von Cookies notwendig ist. Es gibt keine andere Möglichkeit für ein Gerät zu wissen, welcher Benutzer es bedient. Ohne Cookies kann der Server den Benutzer nicht verifizieren. Einfach ausgedrückt: Sobald sich der Benutzer mit einem Passwort und MFA anmeldet, gibt der Server dem Benutzer ein Cookie. Und wenn derselbe Benutzer das nächste Mal mit diesem Cookie zurückkommt, erkennt der Server das Cookie und weiß, dass dieser Benutzer sich bereits angemeldet hat – es besteht also keine Notwendigkeit, die gleichen Informationen erneut abzufragen“, sagt Adrianus Warmenhoven.
Wenn dieses Cookie jedoch gestohlen wird und noch aktiv ist, kann sich ein Angreifer möglicherweise in das Konto einloggen, ohne das Passwort zu kennen oder eine Sicherheitsüberprüfung durchzuführen.
Zusätzlich zu den bereits erwähnten Sitzungsdaten können Cookies auch andere sensible Informationen enthalten, z. B. den Namen, den Standort, die sexuelle Orientierung, die Größe usw. von Personen.
Welche Art von Cookies wurden entdeckt?
Von den 54 Milliarden analysierten Cookies waren 17 % aktiv.
„Auch wenn 17 % nicht viel zu sein scheinen, muss man sich darüber im Klaren sein, dass es sich dabei um eine riesige Menge persönlicher Daten handelt – über neun Milliarden Cookies. Und obwohl aktive Cookies ein größeres Risiko darstellen, stellen inaktive Cookies immer noch eine Bedrohung für die Privatsphäre von Nutzern dar und bieten Hackern die Möglichkeit, gespeicherte Informationen für weiteren Missbrauch oder Manipulation zu nutzen“, sagt Warmenhoven.
Über 2,5 Milliarden aller Cookies im Datensatz stammen von Google, weitere 692 Millionen von Youtube. Über 500 Mio. kamen von Microsoft und Bing.*
„Cookies von solchen Hauptkonten sind besonders gefährlich, weil sie dazu benutzt werden können, um auf weitere Anmeldedaten zuzugreifen, zum Beispiel über die Wiederherstellung von Passwörtern, Unternehmenssysteme oder SSO“, erklärt Warmenhoven.
Was die Länderdaten anbelangt, so kamen die meisten Cookies aus Brasilien, Indien, Indonesien, den USA und Vietnam. Das häufigste Land in Europa war Spanien mit 554 Millionen Cookies im Datensatz. Während das Vereinigte Königreich bei der Anzahl der Cookies an 120. Stelle lag, waren mehr als die Hälfte der Cookies im Vereinigten Königreich aktiv. Insgesamt waren 244 Länder und Gebiete im Cookie-Datensatz vertreten, was die große Reichweite dieser riesigen Malwaresysteme zeigt.
Die größte Schlüsselwortkategorie (10,5 Milliarden) war „zugewiesene ID“, gefolgt von „Sitzungs-ID“ (739 Millionen) – diese Cookies werden bestimmten Nutzern zugewiesen oder mit ihnen verbunden, um Sitzungen aktiv zu halten oder sie auf der Website zu identifizieren, um Dienste anzubieten. Es folgten 154 Millionen Authentifizierungs- und 37 Millionen Anmelde-Cookies.
Name, E-Mail, Stadt, Passwort und Adresse waren in der Kategorie der persönlichen Informationen am häufigsten zu finden.
„Kombiniert man all diese Details mit Alter, Größe, Geschlecht oder sexuelle Orientierung, erhält man ein sehr intimes Bild des Nutzers, das gezielte Betrügereien oder Angriffe begünstigt“, so Adrianus Warmenhoven.
Es wurden bis zu 12 verschiedene Arten von Malware verwendet, um diese Cookies zu stehlen. Fast 56 % wurden von Redline gesammelt, einem beliebten Datendieb und Keylogger.
Wie man sich besser schützen kann
Auch wenn es keine magische Keksdose gibt, um sie fest zu verschließen, empfiehlt Adrianus einige Tipps zur digitalen Hygiene.
Erstens betont er die Bedeutung der Aufmerksamkeit und des bewussten Verhaltens im Internet.
„Es ist eine gute Idee, Cookies regelmäßig zu löschen, um die Anzahl der Daten, die gestohlen werden können, zu minimieren. Darüber hinaus sollten Menschen darauf achten, welche Dateien sie herunterladen und welche Websites sie besuchen – wenn sie wachsam sind, können sie das Risiko minimieren“, so der Experte.
Der Einsatz von Tools wie dem Bedrohungsschutz von NordVPN kann ebenfalls hilfreich sein, denn diese Funktion hilft dabei, bösartige Websites zu blockieren, Downloads auf Malware zu überprüfen und Tracker zu blockieren, um den Nutzer besser vor dem Sammeln und Stehlen von Daten zu schützen. Dark Web Monitoring kann auch dazu beitragen, den Benutzer zu warnen, falls die Daten gestohlen werden, so dass eine Person Maßnahmen ergreifen kann, bevor weiterer Schaden entsteht.
METHODIK
Die Daten wurden in Zusammenarbeit mit externen Forschern zusammengestellt, die auf die Untersuchung von Cybersecurity-Vorfällen spezialisiert sind. Die Forscher nutzten Daten aus Telegram-Kanälen, in denen Hacker anbieten, welche gestohlenen Informationen zum Verkauf angeboten werden. Dies führte zu einem Datensatz mit Informationen über mehr als 54 Milliarden Cookies. Die Forscher analysierten, ob die Cookies aktiv oder inaktiv waren, welche Malware verwendet wurde, um die Cookies zu stehlen, aus welchem Land oder Gebiet sie stammten und welche Daten sie über das Unternehmen, das den Cookie erstellt hat, das Betriebssystem des Benutzers und die Schlüsselwortkategorien, die den Benutzern zugewiesen wurden, enthielten. NordVPN kaufte keine gestohlenen Cookies und griff nicht auf den Inhalt der Cookies zu, sondern untersuchte nur, welche Arten von Daten in ihnen enthalten waren.