O inimigo em casa: como os ataques de sequestro de sessão ignoram a verificação em duas etapas (2FA)
O roubo de cookies de sessão através de malware tornou-se a técnica preferida dos cibercriminosos para contornar o segundo fator de autenticação sem levantar suspeitas.
O inimigo em casa: como os ataques de sequestro de sessão ignoram a verificação em duas etapas (2FA)
A verificação em duas etapas (2FA) e a análise multifatorial (MFA) se estabeleceram como os pilares básicos da segurança de contas digitais na web. No entanto, um método de ataque altamente sofisticado que está em ascensão entre os cibercriminosos está mostrando que essas barreiras podem ser completamente ineficazes: sequestro de sessão ou Sequestro de Sessão.
Através de spyware especializado e técnicas avançadas de phishing, os invasores conseguem escapar do segundo fator pela raiz, sem interagir diretamente com ele.
O valor dos cookies de autenticação
Quando um usuário faz login em um aplicativo da web e insere com êxito sua senha e código 2FA, o servidor valida suas credenciais e gera um identificador exclusivo conhecido como token de sessão. Este token é armazenado no navegador do usuário na forma de um cookie.
A partir desse momento, para evitar que o usuário tenha que inserir suas credenciais em cada página que visita, o navegador envia automaticamente este cookie em cada solicitação HTTP. Este token é a “chave mestra” da sessão.
A mecânica do sequestro de sessão
Se um invasor conseguir obter uma cópia desse cookie de sessão ativa, ele poderá importá-lo para seu próprio navegador. Isso é conhecido como roubo de cookies ou roubo de cookies.
Quando o invasor faz solicitações ao servidor com o cookie roubado, o servidor o processa, considera-o válido e concede ao invasor acesso imediato à conta. Como a sessão já foi aberta legitimamente pelo usuário original (que já passou no desafio 2FA), o sistema não pede novamente senhas ou códigos dinâmicos.
Este ataque é comumente perpetrado através de:
- Malware local (Infostealers): Trojans silenciosos que infectam o sistema e extraem bancos de dados de cookies de navegadores como Chrome, Firefox ou Edge.
- Phishing em tempo real (Proxy Reverso): Páginas falsas que interceptam tanto as credenciais quanto os cookies retornados pelo servidor legítimo em tempo real.
- Ataques Man-in-the-Middle (MitM): Interceptação de tráfego em redes Wi-Fi desprotegidas quando a criptografia adequada não é implementada.
Estratégias de mitigação e defesa
Para desenvolvedores de software e administradores de sistema, mitigar o sequestro de sessão requer a implementação de práticas recomendadas de criptografia:
- Cookies seguros: Configure cookies com as flags
HttpOnly(impede o acesso através de JavaScript) eSecure(força a transmissão exclusiva sob HTTPS). - DPoP (Demonstrando Prova de Posse): Vincule criptograficamente os tokens de sessão com uma chave pública gerada pelo navegador do cliente para que eles não funcionem se copiados para outra máquina.
- Monitoramento Contextual: Invalida automaticamente as sessões se forem detectadas alterações repentinas no endereço IP do usuário, no User-Agent ou na impressão digital do navegador.
