Langt de fleste logger på hjemmesider eller portaler dagligt, når de bruger internettet. Hver gang man gør det, oprettes der en session. En session er kommunikationen mellem to systemer, som forbliver aktiv, indtil brugeren afslutter kommunikationen. Sessionens start er afgørende for, at kommunikation kan køre over internettet - men åbner også for risikoen for sessionskapring. Læs videre og lær mere om sessionskapring, hvordan det virker, og hvordan du beskytter dig selv.
Hvad er sessionskapring?
Sessionskapring – nogle gange kaldet cookie hijacking, cookie-kapring, cookie-side-jacking eller TCP-sessionkapring – sker, når en angriber overtager din internetsession. Det kan være, når du handler på nettet, betaler en regning eller tjekker din saldo i netbanken. Sessionskapreren går normalt målrettet efter browsere eller webapplikationer, og prøver at tage kontrol over din browsersession og få adgang til dine personlige oplysninger og adgangskoder.
Sessionskaprere narrer også hjemmesider til at tro, de er dig. Sådan et angreb kan få alvorlige konsekvenser for appens sikkerhed, fordi den giver angriberen mulighed for at opnå uautoriseret adgang til beskyttede konti (og dataene på dem) ved at udgive sig for at være den rigtige bruger.
Hvad er en session?
Hver gang en bruger bruger en hjemmeside eller en applikation, via en HTTP-forbindelse, kontrollerer tjenesten brugeren (for eksempel via et brugernavn og en adgangskode), før den åbner kommunikationslinjen og giver adgang. Imidlertid er selve HTTP-forbindelserne 'statsløse', som betyder, at hver handling, en bruger foretager, betragtes uafhængigt. Hvis vi ergo udelukkende stolede på HTTP, ville brugerne skulle logge ind for hver eneste handling, de foretog eller side, de besøgte.
Det klarer sessionerne for dem. Serveren opretter en session på serveren, der er vært for siden eller applikationen, når en bruger logger på og virker så som reference for den indledende godkendelse. Brugeren kan forblive godkendt, så længe sessionen er åben på serveren og afslutter derefter sessionen ved at logge ud af tjenesten. Nogle tjenester afslutter en session efter en bestemt periode med inaktivitet.
Mange tjenester opretter sessionerne ved at udstede et sessions-id, som er en streng af tal og bogstaver, der gemmes i midlertidige sessions-cookies, URL'er eller skjulte felter på siden. I nogle, men ikke alle tilfælde, er disse sessions-id'er krypterede. Ofte er sessions-id'er baseret på forudsigelige oplysninger, som brugerens IP-adresse.
Hvordan fungerer sessionskapring?
Her er et hypotetisk eksempel på, hvordan sessionskapring virker:
Trin 1: En internetbruger logger på en konto, helt som han plejer.
Det kan være på netbanken eller kreditkortets konto, en webshop, en applikation eller en portal. Applikationen eller hjemmesiden installerer en midlertidig sessionscookie i brugerens browser. Den rummer oplysninger om brugeren, der gør det muligt for siden at holde ham godkendt og logget ind og spore hans aktivitet under sessionen. Sessionscookien bliver liggende i browseren, indtil brugeren logger ud (eller logges ud automatisk efter en bestemt periode med inaktivitet).
Trin 2: En forbryder får adgang til internetbrugerens gyldige session.
Cybersvindlere bruger forskellige metoder til at overtage sessioner. Typisk går sessionskapring ud på at stjæle brugerens sessionscookie, lokalisere sessions-id'et i cookien og bruge oplysningerne til at overtage sessionen. Sessions-id'et kaldes også en sessionsnøgle. Når den kriminelle får fat i sessions-id'et, kan han overtage sessionen, uden at man ser det.
Trin 3: Sessionskapreren opnår en gevinst ved at stjæle sessionen.
Når den oprindelige internetbruger går videre til en anden side, kan kapreren bruge den igangværende session til at begå en række skadelige handlinger. Han kan fx stjæle penge fra brugerens bankkonto, købe varer, få fat i personlige data for at stjæle identiteten eller kryptere brugerens data og kræve en løsesum for dem.
Sessionkapringer angriber oftest travle netværk med mange aktive kommunikationssessioner. Der har angriberen mange sessioner, som kan udnyttes, hvilket giver angriberen en vis beskyttelse – fordi antallet af aktive sessioner på serveren gør det mindre sandsynligt at opdage kapringen.
Typer af sessionskapring
Cross-site scripting
Angreb med Cross-site scripting er cybersvindlere, der udnytter en webserver eller applikations svageste sikkerhedspunkter. Cross-site
scripting involverer en angriber, der sender scripts ud via hjemmesider. Det får din browser til at afsløre din sessionsnøgle for angriberen, så han kan overtage sessionen.
Session sidejacking (også kaldet sessionssniffing)
I denne slags angreb skal svindlere bruge adgang til brugerens netværkstrafik. Han kan fx få adgang, når brugeren anvender et usikkert Wi-Fi eller ved et såkaldt manden-i-midten-angreb.
Ved session sidejacking benytter forbryderen 'packet sniffing' til at overvåge brugerens netværkstrafik og søge efter sessioner. Det giver angriberen mulighed for at få fat en sessionscookie og bruge den til at overtage sessionen med.
Sessionsfiksering
I et sessionsfikseringsangreb opretter den kriminelle et sessions-id og narrer brugeren til at starte en session med det. Det gøres fx ved at sende en e-mail til brugeren, med et link til en login-formular til
den hjemmeside, angriberen ønsker adgang til. Brugeren logger derefter på, med det falske sessions-id, som lader angriberen få en fod inden for døren.
Manden-i-browseren angreb
Det ligner manden-i-midten angreb, men her skal angriberen først sende en trojaner ind i offerets computer. Når offeret er blevet fuppet til at installere
malware på systemet, venter malwaren på, at offeret besøger den ønskede hjemmeside. Manden-i-browseren malware kan ændre transaktionsoplysninger, uden at det ses, og dermed lave flere transaktioner, uden at brugeren ved det. Fordi anmodningerne kommer
fra offerets computer, er det ekstremt svært for internettjenesten at se, at anmodningerne er falske.
Forudsigeligt sessionstoken-id
Mange webservere anvender en brugerdefineret algoritme eller et foruddefineret mønster til at generere sessions-id'er med. Jo mere forudsigelig et sessionstoken er, jo svagere er det. Hvis angriberen
kan opsnappe flere id'er og analysere mønsteret, kan han muligvis forudsige et gyldigt sessions-id. (metoden kan sammenlignes med et brute force-angreb.)
Hvordan adskiller sessionkapring sig fra sessionspoofing?
Sessionskapring og sessionspoofing har flere ligheder, men er stadig ikke samme slags angreb. Den primære forskel på de to er, at sessionskapring opstår, når en legitim bruger allerede er logget ind på en internetsession. Omvendt foregår sessionspoofing ved, at angriberen efterligner en bruger og starter en ny websession (som betyder, at brugeren ikke engang skal være logget ind her).
Forskellen betyder, at de rigtige brugere oplever angrebene anderledes. Ved sessionskapringen, kan hackeren, der afbryder sessionen, få hjemmesiden eller applikationen til at opføre sig mærkeligt eller endda gå ned for offeret. Men fordi brugeren ikke er selv er logget på, under et sessionsspoofingangreb, oplever han eller hun ingen forstyrrelser under deres næste session.
Effekten af SQL-injektionsangreb
Der er mange risici forbundet med ikke at gøre noget for at forhindre sessionskapring. Nogle af dem omfatter:
Identitetstyveri
Ved at få uautoriseret adgang til de følsomme og personlige oplysninger, der ligger på diverse konti, kan angriberen stjæle offerets identitet og dermed komme langt videre end den hackede hjemmeside eller applikation.
Økonomisk tyveri
Angriberen kan bruger sessionskapring til at udføre økonomiske transaktioner på brugerens vegne. Det kan være at overføre penge fra en bankkonto eller shoppe på nettet med gemte betalingsoplysninger.
Malware-infektioner
Når hackeren stjæler en brugers sessions-id, kan han muligvis også inficere brugerens computer med malware. Det kan give ham mulighed for at opnå kontrol med offerets computer og stjæle data.
"Denial of service" eller DoS-angreb
En hacker, der opnår kontrol over en brugers session, kan lancere et DoS-angreb mod hjemmesiden eller serveren, som han er forbundet til, forstyrre tjenesten eller få hjemmesiden til at gå ned.
Adgang til yderligere systemer via SSO
SSO står for 'single sign on'. Angriberen kan også få uautoriseret adgang til flere systemer, hvis der bruges SSO. Det øger den potentielle risiko for et angreb med en sessionskapring. Risikoen er ekstra alvorlig for organisationer, da mange nu bruger SSO for medarbejderne. I sidste ende, betyder det, at selv effektivt beskyttede systemer med stærke autentificeringsprotokoller og mindre forudsigelige sessionscookies, som dem, der rummer økonomiske oplysninger eller kundeoplysninger, muligvis kun er lige så sikre som systemets svageste led.
Eksempler på sessionskapringer
Zoom bombing
Under coronapandemien brugte hele verden videomøde-apps, som fx Zoom. De apps blev populære mål for sessionskaprere og blev endda kaldt 'zoom bombing'. Der gik historier om sessionkaprere, der deltog i private videosessioner og fx bandede løs, brugte hadefuldt sprog og delte pornografiske billeder. Som modsvar, lancerede Zoom bedre beskyttelse af fortroligheden for at minimere risikoen.
Slap
I 2019, fandt en forsker en sårbarhed i Slack som gjorde det muligt for angriberne at sende brugerne over i falske sessioner,
hvor de kunne stjæle deres sessionscookies. Det gav dem adgang til alle de data, der blev delt via Slack (For mange organisationer var det en hel del). Slack reagerede hurtigt og lappede sårbarheden højst 24 timer efter, at forskeren fandt den.
GitLab
I 2017, fandt en sikkerhedsforsker en sårbarhed i GitLab hvor brugernes sessionstokens kunne ses direkte i URL'en. Yderligere undersøgelser viste, at GitLab også brugte permanente sessionstokens, der aldrig udløb. Det betød, at når en angriber først fik fat i ét sessionstoken, kunne han bare bruge det uden at bekymre sig om at det udløb. Kombinationen af åben eksponering og permanente tokens udgjorde en seriøs risiko, der udsatte brugerne for forskellige, alvorlige angreb med sessionskapring via et brute force-angreb. GitLab rettede sårbarheden ved at ændre måden, som den brugte og gemte disse tokens på.
Sådan undgår du sessionskapring
Følg disse tip om forebyggelse af sessionkapring, som styrker din sikkerhed på nettet:
Undgå offentlige Wi-Fi’s
Undgå at foretage nogen vigtige transaktioner, som netbank, webshopping eller at logge ind på mail eller sociale medier på et offentligt netværk.
Der kan være en cybersvindler i nærheden, som bruger packet sniffing til at forsøge at kapre sessionscookies og andre data.
Brug et VPN
Hvis du skal bruge offentligt Wi-Fi, bør du bruge et virtuelt privat netværk (VPN) for at optimere sikkerheden og holde sessionskaprere væk fra dine sessioner. Et
VPN maskerer din IP-adresse og skjuler dine aktiviteter på nettet ved at lave en privat tunnel, som alle dine aktivitet føres igennem. VPN’et krypterer de data, du sender og modtager.
Vær opmærksom på phishing og andre svindelnumre på nettet
Undgå at klikke på links i en mail, medmindre du ved, at det er fra en reel afsender. Sessionskaprere sender dig fx en mail med et link, du skal klikke på. Linket kan installere
malware på din enhed eller føre dig til en login-side, der logger dig på en hjemmeside ved hjælp af et sessions-id, angriberen har lavet.
Vær opmærksom på hjemmesidernes sikkerhed
Velrenommerede banker, e-mail-udbydere, webshops og sociale medier bruger stærke sikkerhedsforanstaltninger for at undgå sessionskapring. Brug hjemmesider, hvis URL starter med HTTPS – S står
for 'secure' eller sikker. Hvis du bruger tvivlsomme webshops eller andre udbydere, der muligvis ikke bruger en effektiv sikkerhed, kan det gøre dig sårbar over sessionskapring.
Brug antivirus
Installer en velrenommeret antivirus, som nemt registrerer vira og beskytter dig mod enhver form for malware (inklusive malwareangribere, der anvender sessionskapring). Hold dine systemer opdaterede ved
at konfigurere automatiske opdateringer på alle dine enheder.
Relaterede produkter:
Læs mere: