PayPal подала заявку на патент, который описывает метод выявления украденных «супер-файлов cookie». Он позволит улучшить механизм аутентификации на основе этих файлов и ограничить атаки, связанные с захватом учётных записей.
PayPal намерена бороться с атаками, когда хакеры крадут файлы cookie, содержащие токены аутентификации, для входа в учётные записи без необходимости ввода действительных данных и для обхода двухфакторной аутентификации (2FA).
«Кража файлов cookie — это сложная форма кибератаки, при которой злоумышленник крадет или копирует файлы cookie с компьютера жертвы в свой веб-браузер», — говорится в заявке на патент PayPal. Эти украденные файлы cookie часто содержат хешированные пароли, поэтому хакер может выдать себя за пользователя или его аутентифицированное устройство для получения доступа к защищённой информации.
В отличие от стандартных файлов cookie, хранящихся локально, суперкуки или «флэш-куки» представляют собой локальные общие объекты (LSO), которые вводятся на сетевом уровне в виде заголовков уникальных идентификаторов (UIDH) поставщиком интернет-услуг (ISP) пользователя. Они используются в основном для межсайтового отслеживания, отслеживания пользователей в разных браузерах на одном устройстве, сбора данных о активности просмотра и фингерпринтинга. Суперкуки труднее обнаружить и удалить, поскольку они не хранятся в стандартной папке cookie браузера. Суперкуки
Инженеры PayPal разработали метод расчёта оценки риска мошенничества в механизме аутентификации на основе файлов cookie для выявления незаконных попыток входа в систему. Когда она получает запрос на аутентификацию с устройства пользователя, то определяет различные места хранения файлов cookie на устройстве и сортирует их «в порядке возрастания риска мошенничества».
«Значение файла cookie для каждого места хранения извлекается с устройства. Ожидаемое значение файла рассчитывается на основе значения файла cookie из предыдущего места хранения», — говорится в патентной заявке.
Затем система PayPal оценивает риски, сравнивая ожидаемые значения файлов cookie со значениями, назначенными для мест хранения устройства. Запрос на аутентификацию обрабатывается на основе того, превышает ли эта оценка хотя бы для одного из мест хранения заранее определённый уровень толерантности. Это позволяет системе соответствующим образом управлять запросами аутентификации, принимая, отклоняя или активируя дополнительные меры безопасности для одобрения попытки входа в систему. Логика системы
Полученные значения файлов cookie шифруются с использованием криптографического алгоритма с открытым ключом. Процесс шифрования и сравнения значений
Компания подала патент под названием «Идентификация супер-файлов cookie для обнаружения украденных файлов cookie» в июле 2022 года, а в начале этого месяца он был опубликован Ведомством по патентам и товарным знакам США.
В январе компания CloudSEK представила новый метод взлома, с помощью которого хакеры могут эксплуатировать функциональность протокола авторизации OAuth 2.0 для компрометации аккаунтов Google. Атака MultiLogin производится с помощью недокументированной точки доступа Google Oauth. Она позволяет поддерживать действительные сессии, регенерируя cookie-файлы даже после смены IP-адреса или пароля.
Источник новости: habr.com
