会话劫持诈骗:窃取活跃登录
会话劫持是指诈骗者拦截并控制您的已认证在线会话,绕过窃取密码的需要。登录网站或应用程序后,您的浏览器会收到会话令牌或Cookie,使您保持认证状态。攻击者使用各种方法——包括在公共WiFi上进行中间人攻击、恶意软件注入或受损网络——来捕获这些令牌并冒充您。与传统凭证盗窃不同,会话劫持可能会无声地发生;您仍保持登录状态,而攻击者同时从另一位置访问您的账户,这使检测变得困难。根据FBI互联网犯罪投诉中心的数据,在2023年,基于会话的攻击影响了超过30万个个体,每个受害者的平均损失为5000美元。当攻击者针对金融服务、电子邮件账户或社交媒体时,危险会加剧——他们可以转账、重置密码或在您察觉到任何异常之前发动进一步的攻击。
常见手法
- • 部署恶意软件或浏览器扩展程序,从您的浏览器中无声地记录HTTP Cookie和会话令牌,实时将它们传输到攻击者控制的服务器,您完全不知情。
- • 在未加密的公共WiFi网络上进行中间人(MITM)攻击,使用Wireshark或Ettercap等工具来拦截您设备与网站服务器之间的未加密会话流量。
- • 将恶意JavaScript代码注入到被入侵的网站或广告网络中,从访客的浏览器中收获会话Cookie,并将它们泄露到攻击者基础设施。
- • 利用跨站请求伪造(CSRF)漏洞,使用您的认证会话进行未授权操作,如从攻击者控制的网站更改电子邮件地址或发起密码重置。
- • 对DNS服务器或ISP基础设施进行网络级别的攻击,将您重定向到虚假登录页面,然后在您尝试在虚假网站上登录时捕获您的会话令牌。
- • 从数据泄露、暗网市场或内部威胁获取或购买泄露的会话令牌,然后在原始会话过期前(通常在15分钟到24小时内)立即使用它们访问账户。
如何识别
- 注意到来自不同地理位置或不熟悉的设备的账户同时登录通知,表示攻击者在您同时访问会话。
- 看到异常账户活动,如您未撰写的已发送电子邮件、已更改的设置或已启动的交易,但您的密码从未更改且您未被锁定。
- 观察到您在仍在积极使用账户时意外登出,或您的会话似乎处于不一致的状态,缓存数据很奇怪。
- 检测到出现在您未安装的可疑浏览器扩展或工具栏,尤其是那些请求与数据访问或Cookie管理相关的过度权限的扩展。
- 发现您的2FA代码被用于账户访问尝试,但您未启动登录且您的密码保持不变,这表示会话控制而非凭证盗窃。
- 收到来自网站或应用程序的警报,提示'新设备'登录、'异常位置'访问尝试或会话安全警告,即使您未启动新登录。
如何保护自己
- 始终使用仅HTTPS的网站(验证URL中的挂锁图标和https://),避免在未加密的连接上输入敏感信息,尤其是在公共WiFi网络上。
- 禁用自动WiFi连接,在公共WiFi上从不进行银行、电子邮件或敏感账户访问;如果必须在公共网络上访问账户,请改用VPN服务。
- 定期查看账户设置中的活跃会话(Google、Microsoft、Apple、Facebook和大多数银行都提供此功能),并立即终止任何不认识的会话。
- 每周清除浏览器Cookie、缓存和浏览历史记录,并考虑对敏感网站使用隐私/无痕浏览模式,以防止持久会话令牌存储。
- 安装声誉良好的防病毒和反恶意软件(如Malwarebytes或Windows Defender),并保持更新以检测和移除基于浏览器的会话劫持恶意软件。
- 在所有关键账户上启用双因素认证,并密切监控登录通知;如果您看到不熟悉的登录尝试,请立即更改密码并查看账户活动。
真实案例
一位商务专业人士在咖啡馆的公共WiFi网络上登录其公司电子邮件。一名使用WiFi数据包嗅探器的攻击者附近捕获会话Cookie,然后HTTPS连接完全加密流量。在数小时内,攻击者访问电子邮件账户,将敏感公司文件转发给自己,并发起密码重置。该员工直到IT在第二天向他们警告有异常电子邮件转发规则时才注意到。攻击者在检测之前有18小时的访问时间。
自由职业者安装了一个看似有用的生产力浏览器扩展程序,承诺自动填充表单并管理密码。用户不知道,该扩展程序在他们访问银行网站或客户门户网站时记录其会话Cookie。攻击者监控这些会话,当自由职业者登录其银行应用程序时,立即使用捕获的会话转账8000美元到一个账户,然后银行的欺诈检测系统检测到。自由职业者在3天后查看其声明时发现了此交易。
小企业主收到一封看似来自其支付处理器的电子邮件,要求他们通过单击链接'验证其会话'。该链接导向由诈骗者控制的虚假登录页面。当所有者输入其凭证时,诈骗者不仅捕获密码,还重定向流量以生成有效的会话令牌。然后他们使用盗取的会话访问真实支付处理器账户,并发起总额12000美元的未授权交易,一周后业务才发现。