無論用戶設置了多長的密碼，如果惡意軟件感染設備并發現了一些Cookie，賬戶都會存在被竊風險。

據 Cybernews 在1月初的報道，黑客正在利用授權協議 OAuth2 的新漏洞劫持 Google 帳戶，并在 IP 或密碼重置的情況下通過重新生成 Cookie來保持持久性。

前 FBI 數字犯罪專家、現任 SpyCloud 實驗室副總裁特雷弗·希利戈斯（Trevor Hilligoss）在接受 Cybernews 采訪時警告稱，所有 Cookie 都容易受到攻擊，是危害谷歌或其他帳戶的唯一手段，最近發現的 OAuth 漏洞證明了這一點。

SpyCloud 實驗室副總裁特雷弗·希利戈斯（Trevor Hilligoss）

希利戈斯指出，Cookie 盜竊并不是繞過身份驗證的新策略，有效的 Cookie 可以導入犯罪分子的系統，從而欺騙受害者的設備。

這種方法的興起是由于許多用戶現在使用多重身份驗證，盜竊密碼變得困難，但同時很少有人真正了解 Cookie 盜竊的嚴重性以及預防的難度。

希利戈斯以谷歌賬戶舉例，認為它是對犯罪分子最具吸引力的帳戶之一，因為其中包含了大量重要的個人、稅務和其他信息，還可以用于重置其他服務的密碼。

“如果我進入你的 Gmail 帳戶，我敢打賭我可以使用你的 Google 帳戶重置你的 Facebook 密碼。我在半夜這樣做。直到早上你才會意識到這一點，”Hilligoss 向 Cybernews 解釋道，“犯罪分子每天都在這樣做。”

為什么Cookie 如此重要？

幾年前，當多重身份驗證 (MFA) 尚未普及時，大多數人仍然僅使用用戶名和密碼進入帳戶。如今，MFA 隨處可見，因為它是阻止簡單撞庫攻擊的有效方法，而與此同時，黑客也適應了這一趨勢，開始瞄準Cookie 。

去年，當攻擊者利用谷歌的Cookie 撤銷策略發現了其中的零日漏洞時，該漏洞很快就被集成到多個信息竊取程序中。

一般而言，身份驗證Cookie會確定用戶與服務會話的到期時間，時長可從幾分鐘到幾個月，到期后需要重新進行身份驗證。攻擊者可以訪問 cookie 和設備信息，不再需要知道密碼和安全密碼或有權訪問帳戶恢復選項。

攻擊者很容易竊Cookie嗎？

希利戈斯認為，惡意軟件在這方面已經變得非常擅長。目前，大多數瀏覽器將Cookie 存儲在本地數據庫中，當用戶訪問銀行網站，輸入用戶名和密碼并單擊登錄后。服務器將為用戶瀏覽器提供一個唯一的 Cookie，瀏覽器會將該Cookie 保存到用戶設備上的本地數據庫中，因此當用戶下次訪問該網站時，會自動將該 Cookie 與為該網站保存的任何其他服務的Cookie 一起提供。

而惡意軟件就像瀏覽器一樣，會訪問同一個數據庫，檢查是否有銀行或其他服務的Cookie。然后將這些Cookie導出到用戶設備本地的一個文件中，與其他系統和用戶信息捆綁在一起發送給攻擊者。目前有很多開源和免費軟件可以幫助攻擊者導入 Cookie，將他們的系統設置成與用戶相似，從而欺騙性地讓瀏覽器認為運行的是用戶的系統，如此一來，攻擊者就可以訪問用戶 Gmail 或其他賬戶。

"說到底，每個 Cookie 本身都是脆弱的，但問題在于攻擊設備的惡意軟件，而不是Cookie 本身，”希利戈斯說道。

犯罪分子花幾百美元租用強大的惡意軟件

希利戈斯所屬的 SpyCloud 實驗室正專門從事暗網研究和違規數據分析，他們發現了一個強大的信息竊取程序 LummaC2，其中利用了OAuth2的最新漏洞。該程序提供按月定價方案，其中最便宜的 "Experienced "計劃為 250 美元/月，"Professional "計劃為 500 美元/月，而 "Corporate "計劃的價格為1000 美元/月。

LummaC2在暗網發布的貼子

希利戈斯將這類惡意軟件即服務模式比作 "五歲小孩拿手榴彈"，其中不斷更新的技術讓沒有編碼經驗的人都能夠操縱它實施攻擊。他還注意到去年信息竊取程序的新進展比以往任何一年都多，推出了可以竊取遠程桌面設備配置文件的模塊。

如何保護自己免受此類攻擊？

“最重要的是確保你一開始就不會被感染，”在訪談中，希利戈斯給出了如下建議：

• 進行良好的端點監控、安裝防病毒軟件并保持更新；
• 不要輕易點擊廣告，很多惡意軟件都是通過廣告傳播；
• 企業組織應制定良好的補救政策，并練習快速檢測和撤銷受損的Cookie以控制損害；
• 撤銷對不再使用的設備的訪問權限；
• 建議不要勾選“記住賬號密碼”選項，以使Cookie 過期時間最短。