การไฮแจ็กเซสชันคืออะไรและวิธีป้องกัน

เผยแพร่แล้ว: 2022-12-20

คุณทราบหรือไม่ว่าแฮ็กเกอร์สามารถโอนเงินผ่านธนาคารหรือซื้อสินค้าออนไลน์ในนามของคุณโดยไม่ขโมยข้อมูลการลงทะเบียนของคุณ

เราเชื่อมโยงคุกกี้กับการติดตามและโฆษณาออนไลน์ที่น่ารำคาญ แต่คุกกี้เหล่านี้ยังจัดเก็บคำค้นหา ทำให้เราสามารถเยี่ยมชมเว็บไซต์โดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่าน

การหักหลังเซสชัน

อย่างไรก็ตาม หากมีคนสกัดกั้นคุกกี้ สิ่งนี้อาจนำไปสู่การโจมตีทางไซเบอร์อย่างร้ายแรงที่เรียกว่าการไฮแจ็กเซสชัน ซึ่งอาจทำให้ข้อมูลที่ละเอียดอ่อนของคุณตกอยู่ในความเสี่ยงเมื่ออยู่ในมือของผู้โจมตี และอาจสร้างความเสียหายมากมายก่อนที่คุณจะรู้ว่าเกิดอะไรขึ้นด้วยซ้ำ

มาดูกันว่ามันคืออะไรและคุณจะป้องกันได้อย่างไร!

การไฮแจ็กเซสชันคืออะไร

ในการไฮแจ็กเซสชัน ผู้โจมตีจะสกัดกั้นและเข้าควบคุมเซสชันที่สร้างขึ้นระหว่างผู้ใช้และโฮสต์ เช่น เว็บเซิร์ฟเวอร์ เซสชัน Telnet หรือการเชื่อมต่อที่ใช้ TCP อื่นๆ เซสชันจะเริ่มต้นเมื่อคุณลงชื่อเข้าใช้เว็บไซต์หรือแอปพลิเคชัน ตัวอย่างเช่น เว็บไซต์เครือข่ายสังคมออนไลน์

การไฮแจ็กเซสชันคืออะไร

มันดำเนินต่อไปในขณะที่คุณอยู่ในบัญชี ตรวจสอบโปรไฟล์ของคุณหรือมีส่วนร่วมในเธรด และสิ้นสุดเมื่อคุณออกจากระบบ แต่เว็บเซิร์ฟเวอร์รู้ได้อย่างไรว่าทุกคำขอของคุณมาจากคุณจริง ๆ ?

นี่คือที่มาของคุกกี้ หลังจากเข้าสู่ระบบ คุณส่งข้อมูลประจำตัวของคุณไปยังเว็บเซิร์ฟเวอร์ เป็นการยืนยันว่าคุณเป็นใครและให้ ID เซสชันแก่คุณโดยใช้คุกกี้ที่จะแนบกับคุณในช่วงระยะเวลาของเซสชัน นั่นเป็นเหตุผลที่คุณไม่ออกจากระบบแอปพลิเคชันทุกครั้งที่คุณเยี่ยมชมโปรไฟล์ของใครบางคน และเหตุใดร้านค้าออนไลน์จึงจดจำสิ่งที่คุณใส่ในตะกร้าสินค้าแม้ว่าคุณจะรีเฟรชหน้านี้

แต่ผู้โจมตีสามารถจี้เซสชันได้หากใช้เทคนิคการจัดการเซสชันพิเศษหรือขโมยคุกกี้ของคุณ ดังนั้นจึงสามารถหลอกเว็บเซิร์ฟเวอร์ให้เชื่อว่าคำขอนั้นมาจากคุณซึ่งเป็นผู้ใช้ที่ได้รับอนุญาต

ปรากฏการณ์การไฮแจ็กเซสชันเริ่มมีชื่อเสียงในช่วงต้นทศวรรษ 2000 แต่ก็ยังเป็นหนึ่งในวิธีที่แฮ็กเกอร์ใช้กันมากที่สุด

ตัวอย่างล่าสุดคือกลุ่ม Lapsus$ ซึ่งกลายเป็นส่วนหนึ่งของรายชื่อที่ต้องการตัวมากที่สุดของ FBI ในปีนี้ มันใช้การติดเชื้อ InfoStealer Maleware เพื่อจี้เซสชัน

ในทำนองเดียวกัน GenesisStore เป็นร้านค้าที่ได้รับเชิญเท่านั้นที่ดำเนินการโดยกลุ่มชื่อเดียวกันซึ่งขายข้อมูลคุกกี้ที่ถูกบุกรุก และมีรายการมากกว่า 400,000 บอท

ประเภทการจับภาพเซสชัน

การจี้เซสชันสามารถแบ่งออกเป็นสองประเภทหลัก ขึ้นอยู่กับความต้องการของผู้กระทำความผิด

ใช้งานอยู่: ในการโจมตีแบบแอ็กทีฟ ผู้โจมตีจะเข้าควบคุมเซสชันของคุณ ดังนั้นจึงใช้การเชื่อมต่อไคลเอนต์ที่ถูกต้องกับทรัพยากร แฮ็กเกอร์สามารถทำการสั่งซื้อออนไลน์ เปลี่ยนรหัสผ่าน หรือกู้คืนบัญชี ทั้งนี้ขึ้นอยู่กับไซต์ของเซสชัน ตัวอย่างทั่วไปของการโจมตีแบบแอคทีฟคือการโจมตีด้วยกำลังดุร้าย XSS หรือแม้แต่ DDoS

อิมเมจ-67
ที่มา: OSWAP

พาสซีฟ : ในการโจมตีแบบพาสซีฟ ผู้โจมตีจะไม่เข้าควบคุมหรือเปลี่ยนแปลงเซสชัน แต่จะคอยตรวจสอบทราฟฟิกข้อมูลระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์อย่างเงียบ ๆ โดยรวบรวมข้อมูลที่ละเอียดอ่อนทั้งหมด โดยปกติแล้ว การปลอมแปลง IP และการฉีดมัลแวร์จะใช้ในการโจมตีด้วยการฉีดแบบพาสซีฟ

อิมเมจ-66
ที่มา: OSWAP

การไฮแจ็กเซสชันทำงานอย่างไร

HTTP เป็นโปรโตคอลไร้สถานะ หมายความว่าเซิร์ฟเวอร์ไม่มีหน่วยความจำการทำงานของไคลเอนต์ คำขอ HTTP ใหม่แต่ละรายการเกิดขึ้นพร้อมกับหน่วยงานใหม่ หรือพูดง่ายๆ ก็คือ เซิร์ฟเวอร์จะให้บริการหน้าแก่ไคลเอ็นต์โดยไม่จำคำขอก่อนหน้านี้ของไคลเอ็นต์

อย่างไรก็ตาม เมื่อเราเรียกดูเว็บ เราตระหนักดีว่าแอปพลิเคชันรู้ดีว่าลูกค้าคือใคร (ดีเกินไปด้วยซ้ำ!) ต้องขอบคุณ "หน่วยความจำ" ของเซิร์ฟเวอร์นี้ "จึงเป็นไปได้ที่จะสร้างพื้นที่สงวนที่ทันสมัยของเว็บไซต์ ธนาคารออนไลน์ บริการเว็บเมล ฯลฯ

ในการดำเนินการนี้ ภาคผนวกได้ถือกำเนิดขึ้นซึ่งสร้างโปรโตคอลไร้สถานะ เช่น HTTP stateful: คุกกี้

เซสชันสถานะ

เมื่อเข้าสู่ระบบแล้ว เว็บแอปพลิเคชันที่ใช้เซสชัน stateful จะปล่อยคุกกี้เซสชัน หมายความว่าพวกเขาใช้คุกกี้นี้เพื่อติดตามลูกค้า ภายในคุกกี้จะถูกบันทึกรหัสเฉพาะที่ช่วยให้สามารถจดจำลูกค้าได้ เช่น:

SESSIONID=ACF3D35F216AAEFC

ใครก็ตามที่มีรหัสหรือรหัสเซสชันเฉพาะที่กล่าวถึงข้างต้นจะเป็นไคลเอนต์ที่รับรองความถูกต้องสำหรับเซิร์ฟเวอร์ หากผู้โจมตีสามารถรับตัวระบุนี้ได้ดังที่เห็นในภาพด้านล่าง พวกเขาสามารถใช้ประโยชน์จากเซสชันที่ได้รับการตรวจสอบในขั้นต้นสำหรับเหยื่อของตน ไม่ว่าจะโดยการดักจับเซสชันที่ถูกต้องหรือแม้แต่เข้าควบคุมเซสชันทั้งหมด ตัวระบุนี้มักจะฝังอยู่ใน URL ในช่องที่ซ่อนของรูปแบบใดๆ หรือในคุกกี้

ที่มา: OSWAP

เซสชันไร้สัญชาติ

ด้วยวิวัฒนาการของเว็บ โซลูชันได้เกิดขึ้นเพื่อจัดการ "หน่วยความจำ" ของเซิร์ฟเวอร์โดยไม่ต้องใช้คุกกี้เซสชัน ในเว็บแอปพลิเคชันที่ส่วนหน้าและส่วนหลังแยกกันอย่างดีและพูดคุยผ่าน API เท่านั้น วิธีแก้ไขที่ดีที่สุดอาจเป็น JWT (JSON Web Token) ซึ่งเป็นโทเค็นที่เซ็นชื่อซึ่งอนุญาตให้ส่วนหน้าใช้ API ที่มาจากส่วนหลัง

โดยปกติแล้ว JWT จะถูกบันทึกไว้ใน sessionStorage ของเบราว์เซอร์ ซึ่งเป็นพื้นที่หน่วยความจำที่ไคลเอ็นต์ยังคงทำงานอยู่จนกว่าแท็บจะปิด ดังนั้น การเปิดแท็บใหม่จะสร้างเซสชันใหม่ (ตรงข้ามกับสิ่งที่เกิดขึ้นกับคุกกี้)

การขโมยโทเค็นระบุตัวตนของไคลเอ็นต์ทำให้คุณสามารถขโมยเซสชันของผู้ใช้ได้ และด้วยเหตุนี้จึงดำเนินการโจมตีเพื่อแย่งชิงเซสชันได้ แต่จะขโมยโทเค็นนั้นได้อย่างไร

ปัจจุบัน วิธีการที่แฮ็กเกอร์ใช้มากที่สุดคือ:

#1. การแจ็กข้างเซสชัน

วิธีนี้ใช้เครือข่ายที่ไม่ปลอดภัยเพื่อค้นหารหัสเซสชันของคุณ ผู้โจมตีใช้การดักจับ (ซอฟต์แวร์พิเศษ) และมักจะกำหนดเป้าหมายไปที่ Wi-Fi สาธารณะหรือเว็บไซต์ที่ไม่มีใบรับรอง SSL ซึ่งขึ้นชื่อเรื่องความปลอดภัยต่ำ

#2. การแก้ไขเซสชัน

เหยื่อใช้รหัสเซสชันที่ผู้โจมตีสร้างขึ้น สามารถทำได้ด้วยการโจมตีแบบฟิชชิง (ผ่านลิงก์ที่เป็นอันตราย) ซึ่งจะ "แก้ไข" รหัสเซสชันของคุณ

#3. กำลังดุร้าย

วิธีที่ใช้เวลานานและไม่มีประสิทธิภาพมากที่สุด ในระหว่างการโจมตีนี้ แฮ็กเกอร์จะไม่ขโมยคุกกี้ของคุณ แต่จะลองทุกชุดค่าผสมที่เป็นไปได้เพื่อเดารหัสเซสชันของคุณ

#4. XSS หรือการเขียนสคริปต์ข้ามไซต์

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในเว็บไซต์หรือแอปพลิเคชันเพื่อแทรกโค้ดที่เป็นอันตราย เมื่อผู้ใช้เยี่ยมชมไซต์ สคริปต์จะถูกเปิดใช้งาน ขโมยคุกกี้ของผู้ใช้ และส่งไปยังผู้โจมตี

การไฮแจ็กเซสชั่นไร้สัญชาติ

#5. การฉีดมัลแวร์

ซอฟต์แวร์ที่เป็นอันตรายสามารถดำเนินการโดยไม่ได้รับอนุญาตบนอุปกรณ์ของคุณเพื่อขโมยข้อมูลส่วนบุคคล มักใช้เพื่อสกัดกั้นคุกกี้และส่งข้อมูลไปยังผู้โจมตี

#6. การปลอมแปลง IP

อาชญากรไซเบอร์เปลี่ยนที่อยู่ IP ต้นทางของแพ็คเก็ตเพื่อให้ดูเหมือนว่ามาจากคุณ เนื่องจาก IP ปลอม เว็บเซิร์ฟเวอร์จึงคิดว่าเป็นคุณ และเซสชันจะถูกไฮแจ็ก

จะป้องกันการไฮแจ็กเซสชันได้อย่างไร

ความเป็นไปได้ของการไฮแจ็กเซสชันมักขึ้นอยู่กับความปลอดภัยของเว็บไซต์หรือแอปพลิเคชันที่คุณใช้ อย่างไรก็ตาม มีขั้นตอนที่คุณสามารถทำได้เพื่อป้องกันตัวเอง:

  • หลีกเลี่ยง Wi-Fi สาธารณะ เนื่องจากฮอตสปอตฟรีเหมาะสำหรับอาชญากรไซเบอร์ พวกเขามักจะมีความปลอดภัยต่ำและแฮ็กเกอร์สามารถปลอมแปลงได้ง่าย ไม่ต้องพูดถึงว่าพวกเขามักจะเต็มไปด้วยผู้ที่อาจตกเป็นเหยื่อซึ่งการรับส่งข้อมูลถูกบุกรุกอย่างต่อเนื่อง
  • ไซต์ใดๆ ที่ไม่ได้ใช้ใบรับรอง SSL จะทำให้คุณเสี่ยง เนื่องจากไม่สามารถเข้ารหัสทราฟฟิกได้ ตรวจสอบว่าไซต์ปลอดภัยหรือไม่โดยมองหาแม่กุญแจขนาดเล็กที่อยู่ติดกับ URL
เกินบรรยาย
  • ติดตั้งแอปพลิเคชันป้องกันมัลแวร์เพื่อตรวจจับและปกป้องอุปกรณ์ของคุณจากมัลแวร์และหนูที่สามารถขโมยข้อมูลส่วนบุคคลได้
  • หลีกเลี่ยงการดาวน์โหลดมัลแวร์โดยใช้ร้านค้าแอปหรือเว็บไซต์ทางการเพื่อดาวน์โหลดแอป
  • หากคุณได้รับข้อความขอให้คุณคลิกลิงก์ที่ไม่คุ้นเคย อย่าทำเช่นนั้น นี่อาจเป็นการโจมตีแบบฟิชชิ่งที่สามารถทำให้อุปกรณ์ของคุณติดไวรัสและขโมยข้อมูลส่วนบุคคลได้

ผู้ใช้สามารถป้องกันการโจมตีแบบ Session Hijacking ได้เพียงเล็กน้อย ในทางตรงกันข้าม แอปพลิเคชันสามารถสังเกตเห็นว่าอุปกรณ์อื่นเชื่อมต่อกับตัวระบุเซสชันเดียวกัน คุณสามารถออกแบบกลยุทธ์การลดผลกระทบ เช่น:

  • เชื่อมโยงลายนิ้วมือทางเทคนิคหรือลักษณะเฉพาะของอุปกรณ์ที่เชื่อมต่อในแต่ละเซสชันเพื่อตรวจจับการเปลี่ยนแปลงในพารามิเตอร์ที่ลงทะเบียน ข้อมูลนี้ต้องบันทึกไว้ในคุกกี้ (สำหรับเซสชันแบบมีสถานะ) หรือ JWT (สำหรับเซสชันไร้สถานะ) ซึ่งเข้ารหัสอย่างสมบูรณ์
  • หากเซสชันอิงตามคุกกี้ ให้วางคุกกี้ด้วยแอตทริบิวต์ HTTPOnly เพื่อไม่ให้เข้าถึงได้ในกรณีที่มีการโจมตี XSS
  • กำหนดค่าระบบตรวจจับการบุกรุก (IDS) ระบบป้องกันการบุกรุก (IPS) หรือโซลูชันการตรวจสอบเครือข่าย
  • บริการบางอย่างทำการตรวจสอบข้อมูลประจำตัวของผู้ใช้เป็นลำดับที่สอง ตัวอย่างเช่น เว็บเซิร์ฟเวอร์สามารถตรวจสอบกับแต่ละคำขอว่าที่อยู่ IP ของผู้ใช้ตรงกับที่อยู่ล่าสุดที่ใช้ในเซสชันนั้น อย่างไรก็ตาม การดำเนินการนี้ไม่ได้ป้องกันการโจมตีจากบุคคลที่ใช้ที่อยู่ IP เดียวกัน และอาจทำให้ผู้ใช้หงุดหงิดที่ที่อยู่ IP อาจเปลี่ยนแปลงระหว่างเซสชันการท่องเว็บ
  • อีกทางหนึ่งคือ บริการบางอย่างจะเปลี่ยนค่าคุกกี้ทุกครั้งที่มีการร้องขอ วิธีนี้ช่วยลดหน้าต่างที่ผู้โจมตีสามารถดำเนินการได้อย่างมาก และทำให้ง่ายต่อการระบุว่ามีการโจมตีเกิดขึ้นหรือไม่ แต่อาจทำให้เกิดปัญหาทางเทคนิคอื่นๆ ได้
  • ใช้โซลูชันการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ที่แตกต่างกันสำหรับแต่ละเซสชันของผู้ใช้
  • อัปเดตระบบทั้งหมดให้ทันสมัยอยู่เสมอด้วยแพตช์ล่าสุดและการอัปเดตความปลอดภัย

คำถามที่พบบ่อย

การไฮแจ็กเซสชันแตกต่างจากการปลอมแปลงเซสชันอย่างไร

การไฮแจ็กเซสชันเกี่ยวข้องกับการแสร้งทำเป็นผู้ใช้ ในขณะที่การปลอมแปลงเกี่ยวข้องกับการเปลี่ยนผู้ใช้ ในช่วงไม่กี่ปีที่ผ่านมา นักวิเคราะห์ด้านความปลอดภัยบางคนได้เริ่มให้ลักษณะการโจรกรรมข้อมูลดังกล่าวว่าเป็นการจี้เซสชันประเภทหนึ่ง

คำสุดท้าย

การไฮแจ็กเซสชันเป็นวิธีการที่แฮ็กเกอร์สามารถสื่อสารกับเซิร์ฟเวอร์ที่ปลอมเป็นผู้ใช้จริง โดยใช้โทเค็นเซสชันหรือคุกกี้ ความถี่ของการโจมตีด้วยการจี้เซสชันเพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา ดังนั้นจึงมีความสำคัญมากขึ้นในการทำความเข้าใจการโจมตีดังกล่าวและปฏิบัติตามมาตรการป้องกัน อย่างไรก็ตาม ในขณะที่เทคโนโลยีกำลังพัฒนา การโจมตีก็มีความซับซ้อนมากขึ้นเช่นกัน ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องสร้างกลยุทธ์การลดผลกระทบจากการไฮแจ็กเซสชัน

คุณอาจสนใจที่จะรู้ว่าข้อมูลของคุณมีค่าเท่าใดบนเว็บมืด