Πολύτιμο εργαλείο για τους χάκερς, ικανό να τους ανοίξει την «πίσω πόρτα» σε λογαριασμούς και δεδομένα, γίνονται τα - απαραίτητα για την περιήγηση στο Διαδίκτυο - cookies. Μπορεί τα cookies να είναι δομικό στοιχεία της ψηφιακής εμπειρίας, ωστόσο, όπως προειδοποιούν οι εταιρείες κυβερνοασφάλειας, κρύβουν κινδύνους που δεν πρέπει να αγνοούμε.

Στόχος επιθέσεων γίνονται τα - απαραίτητα για την περιήγηση στο Διαδίκτυο - cookies

«Είναι η πιο συνηθισμένη σκηνή όταν ανοίγουμε έναν ιστότοπο: ένα παράθυρο μάς ζητά να αποδεχτούμε τα cookies. Συνήθως πατάμε «Αποδοχή όλων», για να συνεχίσουμε πιο γρήγορα, χωρίς να σκεφτούμε τι σημαίνει», τονίζει η Kaspersky.

Όμως, όπως εξηγεί η εταιρεία, τα cookies δεν είναι απλώς μια τυπική διαδικασία. Είναι μικρά αρχεία, που αποθηκεύονται στον browser μας και περιέχουν πληροφορίες για εμάς, από ρυθμίσεις εμφάνισης και στοιχεία σύνδεσης μέχρι προσωπικά δεδομένα και τραπεζικούς λογαριασμούς. Χάρη σε αυτά, οι ιστότοποι μάς «θυμούνται» και διευκολύνουν την εμπειρία μας. Όμως, το ίδιο χαρακτηριστικό τα καθιστά ελκυστικό στόχο για τους χάκερ.

Κάθε cookie περιέχει δεδομένα, που αποστέλλονται στον server κάθε φορά που επιστρέφουμε σε έναν ιστότοπο. Ανάμεσά τους, το πιο κρίσιμο είναι το αναγνωριστικό συνεδρίας (session ID), ένας μοναδικός κωδικός που λειτουργεί σαν «κάρτα πρόσβασης». Αν ένας χάκερ το υποκλέψει, μπορεί να παρουσιαστεί ως νόμιμος χρήστης και να αποκτήσει πλήρη πρόσβαση.

Τα κλεμμένα cookies

Το 2023, μια τέτοια μέθοδος οδήγησε στην κατάληψη τριών καναλιών YouTube του γνωστού blogger Linus Sebastian. Οι χάκερ χρησιμοποίησαν τα κλεμμένα cookies για να παρακάμψουν τον έλεγχο ταυτότητας και να καταλάβουν τους λογαριασμούς με εκατομμύρια συνδρομητές.

Η κατάληψη συνεδρίας (session hijacking) είναι η πιο χαρακτηριστική απειλή, αλλά όχι η μόνη. Το session sniffing εκμεταλλεύεται τη χρήση HTTP αντί για HTTPS, το cross-site scripting (XSS) επιτρέπει την εισαγωγή κακόβουλου κώδικα σε ιστοσελίδες, ενώ το cross-site request forgery (CSRF) «ξεγελά» τον browser ενός χρήστη, ώστε να εκτελεί ενέργειες εν αγνοία του.

Επιπλέον, προβλέψιμα ή αδύναμα αναγνωριστικά συνεδρίας μπορούν να «σπάσουν» εύκολα, ενώ επιθέσεις man-in-the-middle υποκλέπτουν την κίνηση σε δημόσια δίκτυα Wi-Fi.

Τα cookies δεν είναι όλα ίδια

Τα cookies χωρίζονται σε κατηγορίες: προσωρινά (session) που διαγράφονται με το κλείσιμο του browser, μόνιμα (persistent) που παραμένουν για μήνες, first-party που δημιουργεί ο ίδιος ο ιστότοπος και third-party που ανήκουν σε εξωτερικές πλατφόρμες. Αν και τα απαραίτητα cookies στηρίζουν τη βασική λειτουργία μιας ιστοσελίδας, τα προαιρετικά χρησιμοποιούνται κυρίως για την παρακολούθηση συμπεριφοράς και τη στόχευση διαφημίσεων.

Ειδικές κατηγορίες, όπως τα supercookies ή evercookies, μπορούν να επιβιώσουν ακόμη και μετά από διαγραφή.

Πώς να προστατευθείτε

Οι ειδικοί τονίζουν ότι δεν χρειάζεται πανικός, αλλά προσοχή. Μερικές απλές κινήσεις κάνουν τη διαφορά:

- Χρησιμοποιείτε μόνο ιστότοπους με HTTPS.

- Ελέγχετε τις ειδοποιήσεις ασφαλείας του browser και ενημερώνετέ τον τακτικά.

- Διαγράφετε τακτικά cookies και cache.

- Ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων (2FA).

- Αποδέχεστε μόνο τα απαραίτητα cookies.

- Αποφεύγετε τη χρήση δημόσιων Wi-Fi για ευαίσθητες συναλλαγές.