Skip to main content

Ataque de sequestro de sessão – Você sabe se proteger?

By 14 de abril de 2023junho 5th, 2023Gestão de Identidade, Segurança da Informação

Embora seja um tipo de ataque conhecido há décadas, o sequestro de sessão está muito popular atualmente, pois – conforme os sistemas vão incrementando a segurança – os atacantes mudam os tipos de ataque.

Recentemente, o sequestro de sessão fez parte de diversos ataques com impacto financeiro relevante:

  • Ataques de sequestro de dados (ransomware)
  • Ataques de reputação, com adulteração/remoção de dados e substituição por conteúdo ofensivo
  • Ataques de desvio de recursos financeiros

Neste artigo, vamos ver como funciona um ataque de sequestro de sessão, como se proteger e, até mesmo, como fazer com que um sistema seja imune a ataques de sequestro de sessão.

O que é e como funciona um ataque de sequestro de sessão?

Sequestro de sessão é um tipo antigo de ataque, mas que está muito popular atualmente. Ele tem sido usado como parte de ataques de sequestro de dados (ransomware) e a maioria dos sistemas é vulnerável a esse tipo de ataque. Veja aqui como se proteger e impedir os ataques de sequestro de sessão que estão acontecendo no mundo todo.

Um ataque de sequestro de sessão, tipicamente, envolve os seguintes passos:

  1. Ludibriar a vítima, fazendo com que ela execute um programa no seu computador pessoal. Isso é feito, tipicamente, por meio de engenharia social (ou, no popular, 171), sendo o caso mais comum, o envio por e-mail de um documento que parece ser um PDF, mas que na verdade é um programa executável. Embora o formato PDF seja o mais comum atualmente, outros formatos de arquivos também podem ser usados neste passo.
  2. Quando o programa é executado, ele lê todos os códigos de sessão que estão armazenados no navegador internet da vítima e envia via internet para o atacante, por meio de um acesso à internet que passa despercebido, como se fosse um acesso normal a um website.
  3. De posse dos códigos de sessão, o atacante consegue acessar os sistemas que têm aquelas sessões abertas, como se fosse o próprio usuário.

E se você acha que não cairia nesse golpe, veja a imagem abaixo e pense novamente.

Exemplo de um arquivo executável que parece um PDF

A imagem acima, mostra um arquivo com a extensão .scr (Windows Screen Saver), que é um programa executável, disfarçado como se fosse um inocente PDF.

Como você pode se proteger desse tipo de ataque?

Em primeiro lugar, nunca execute arquivos recebidos de pessoas estranhas. Evite, até mesmo, executar arquivos recebidos de pessoas conhecidas porque você não tem como saber se e-mail delas foi violado ou não, pode ser um atacante usando o e-mail para enviar malware.

Em segundo lugar, não utilize o recurso “Lembrar-me” em website/sistemas que executam transações que podem causar prejuízos imediatos como, por exemplo, transações financeiras, remoção de arquivos importantes, cancelamento de conta em serviço de armazenamento etc.

Em terceiro lugar, dê preferência para usar sistemas que usam autenticação adaptativa como, por exemplo, é comum em aplicativos bancários. São aqueles sistemas que exigem um fator de autenticação adicional para fazer uma transação crítica. Por exemplo, uma senha adicional para efetivar um Pix ou um token via SMS para efetivar um pedido de compra.

Mas é possível impedir o sequestro de sessão?

Sim, é possível impedir o sequestro de sessão, ou minimizar o seu impacto, usando algumas técnicas de segurança. Se você é um desenvolvedor de aplicativos, considere as seguintes proteções:

  1. Sempre peça um fator de autenticação adicional antes de realizar uma transação crítica. Assim, uma sessão sequestrada até pode ter acesso para ler os dados, mas não vai conseguir, por exemplo, transferir dinheiro. Isso reduz muito o potencial de dano do sequestro de sessão.
  2. Faça a verificação do número IP do computador do seu usuário para garantir que ele não mudou após a abertura da sessão. Um dos melhores indicativos de sequestro de sessão é quando um sistema recebe um acesso da mesma sessão, mas de um endereço IP diferente. Neste caso, encerre a sessão imediatamente.

No caso 2 acima, pode existir a necessidade de usuários trocarem de rede e, consequentemente, de número IP durante uma sessão. Se o seu aplicativo se encaixar nesse caso, avalie o quanto vale comprometer a segurança pela conveniência. Mas, se você não usa o controle 1, recomendo implantar o controle 2, até porque você pode permitir ativar/desativar conforme a evolução dos demais controles de segurança. E, até mesmo, ativar durante um ataque ou período de alto risco, como o que estamos enfrentando atualmente, sem exigir que os usuários utilizem mais um fator de autenticação.

Não seja a próxima vítima. Se você é usuário de sistemas, proteja-se. E se você é desenvolvedor, implante as proteções acima nos seus sistemas.

Assista o nosso webinar: Tudo sobre proteção de dados e entenda mais sobre o assunto. Aproveite e assine a nossa newsletter para receber os melhores conteúdos no seu e-mail.

São Paulo, SP

R. Peixoto Gomide, 996 6° andar
CEP: 01409-000, Cerqueira César
(11) 5521-2021
[email protected]

Porto Alegre, RS

Rua Ramiro Barcelos, 630 6° andar
CEP: 90035-001, Floresta
(51) 2117-1000
[email protected]

Miami, FL, US

299 Alhambra Cir #403
Coral Gables, FL 33134
[email protected]

Acompanhe

Política de Privacidade

ESG na E-TRUST