Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

FBI: Behörde spricht Warnung vor Session Cookie Diebstahl aus

Das FBI Atlanta warnt, dass Cyberkriminelle auf Diebstahl von Session Cookies setzen, um Internetkonten zu kapern. Ein neuer Webstandard soll Abhilfe schaffen.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Laptop installiert vor Servern, die verschlĂĽsselt sind, davor ein Einbrecher, der Daten aus Google Chrome angelt

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
  • Kathrin Stoll

Das FBI Atlanta hat unlängst eine Warnung herausgegeben, dass Cyberkriminelle auf Session-Cookie-Diebstahl setzen, um E-Mail-Konten zu übernehmen. Die Methode ist nicht neu, scheint aber zuzunehmen. Das Perfide daran: Auch sicherere Anmeldemethoden, etwa Passkeys oder die verschiedenen Arten der Zwei-Faktor-Authentifizierung, schützen nicht vor einer Account-Übernahme auf diesem Weg.

Google arbeitet an einer Lösung

An einer Lösung für das Problem arbeitet Google schon seit einiger Zeit: Sogenannte Device Bound Session Credentials sollen künftig verhindern, dass Angreifer eine aktive Sitzung aus der Ferne übernehmen können. Die Entwicklung findet in einem öffentlichen GitHub-Projekt statt. Ziel ist die Schaffung eines offenen Webstandards. Aktive Sitzungen sollen mit Device Bound Session Credentials an das jeweilige Gerät gebunden werden. Gestohlene Cookies könnten dann nicht mehr genutzt werden, um sich aus der Ferne in einen Account einzuloggen.

Der Mechanismus erinnert ein wenig an Passkeys: Wie das Anmeldeverfahren setzt er auf Public-Key-Kryptografie: Beim Einloggen bei einem Dienst wird ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel generiert. Der private Schlüssel soll sicher auf dem jeweiligen Gerät gespeichert werden, der öffentliche Schlüssel auf dem Server des jeweiligen Webdienstes. Um den privaten Schlüssel sicher zu verwahren, wollen die Entwickler geschützte Hardwaremodule wie beispielsweise das Trusted Plattform Module (TPM) eines Windows-Rechners einspannen. Nutzer sollen einmal generierte Schlüssel jederzeit in den Browser-Einstellungen löschen können.

Bis es soweit ist, kann man sich gegen Session Cookie Diebstahl schützen, indem man sich keine Malware einfängt, die die Cookies stiehlt. Wichtig ist etwa, dass man nur über sichere Verbindungen im Netz surft und nicht auf Phishingmails hereinfällt, in denen sich etwa ein Link zum Download einer solchen Malware verbirgt. Um die Chancen weiter zu minimieren, sollte man sich immer von einem Dienst abmelden, statt einfach das Browserfenster oder den Tab zu schließen. Durch Beenden des Browsers werden aktive Sitzungen ebenfalls beendet und das Session Cookie ungültig.

(kst)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten