PayPal, "süper çerezler"in ne zaman çalındığını tespit edebilen, çerez tabanındaki kimlik aralıklarını ayarlayabilecek ve hesap ele geçirme saldırılarını sınırlandırabilecek yeni bir yöntem için patent sunumunda bulunuyor. PayPal'ın ele almak istediği risk, bilgisayar korsanlarının, geçerli kimlik bilgilerine ihtiyaç duymadan ve iki faktörlü kimlik bilgilerini kapatmayı (2FA) atlayarak kurban hesaplarına giriş yapmak için kimlik doğrulama jetonları içeren çerezleri çalmasıdır.
PayPal, patent başvurusunda "Çerez hırsızlığı, bir saldırganın bilgisayarından çerezleri çaldığı veya saldırganın web tarayıcısına kopyaladığı karmaşık bir siber saldırı biçimidir" diyor . "Çoğunlukla karma şifreler içeren çalınan çerezler sayesinde, Saldırgan, bilgilerin (veya kimlik doğrulaması yapılmış cihazın) kimliğine bürünmek için kurbanın bilgisayarındaki bir web tarayıcısını kullanabilir ve manuel olarak kaydı açmaya veya kimlik bilgilerini biriktirmeniz gerekmeden hesaplarıyla saklanması güvenli bilgi elde edilebilir.
Sistem detayları
Yerel olarak depolanan standart çerezlerin aksine, süper çerezler ("Flash çerezleri" olarak da anılır), kullanıcının internet servis sağlayıcısı (ISP) tarafından ağ düzeyinde benzersiz tanımlayıcı karakterler (UIDH) olarak tutulan Yerel Paylaşılan Nesnelerdir (LSO'lar). Bu süper çerezler öncelikle siteler arası izleme, aynı cihazdaki farklı tarayıcılardaki Kullanıcıları takip etmek, tarama etkinliğine ilişkin verileri toplamak ve kalıcı "cihaz parmak izi" olarak hizmet etmek için kullanılır. Süper çerezlerin algılanması ve silinmesi daha zordur çünkü tarayıcının standart çerez saklama konumunda saklanmazlar.
PayPal mühendisleri, elektronik ödeme platformundaki sahte kayıt açma girişimini tespit etmek amacıyla çerezlerin ayrıntılı kimlik ayrıntılarında sahtekarlık risk puanını programlamak için bir yöntem belirlendi. Bir sistem, bir kullanıcının cihazından kimlik talebi alımında, cihazdaki çeşitli çerez depolama yerlerini depolar ve bunları "dolandırıcılık riskini artırma sırasına göre" sıralar.
Patent başvurusunun özetinde "Her saklama konumu için bir çerez değeri cihazdan alınır. İlklerden sonraki saklama konumu için: beklenen bir çerez değeri, önceki depolamadaki çerezlerin bilgilerine göre bilgiler yer alır". PayPal'ın sisteminin daha sonra beklenen çerez verileri, cihazın depolama konumları için atanan değerlerle karşılaştırarak bir risk değerlendirmesi dikkate alınır. "Kimlik çalıştırma tasarımı, depolama konumlarından en az biri için atanan puanın sahtekarlık tespiti için belirlenen bir risk toleransını aşıp aşıldığına bağlı olarak işlenir."
Sistem, risk değerlendirmesine bağlı olarak kimliğin çeşitliliğine göre yönetim, kayıt açma girişiminin onaylanması için ek güvenlik önlemlerini kabul eder, reddeder veya etkinleştirir. Kurcalamaya karşı güvenliği sağlamak için,bireysel çerez değerleri, genel anahtar şifrelemeyi kullanarak şifrelenir.
PayPal'ın patenti, kimlik doğrulama işlemi sırasında çerezlerin meşru bir şekilde kullanılmasını sağlayan siber saldırılara karşı savunmayı amaçlayan bir yöntem açıklamaktadır. Elektronik ödeme devi, Temmuz 2022'de "Çalınan Çerez Tespiti için Süper Çerez Tanımlaması" başlıklı patenti sundu ve bu patenti, bu ayın başlarında Amerika resimleri Patent ve Ticari Marka Ofisi tarafından yayınlandı.
Tüm patentlerde olduğu gibi, belgede teknolojik sızıntı portallarına bu şekilde veya başka bir şekilde ulaşılacağına dair bir garanti yoktur, ancak izinsiz girişler için çalınan web çerezlerinin yeni koruma mekanizmaları ile zorlaştırılacağı umulmaktadır.
Kaynak:
https://www.bleepingcomputer.com/news/s ... n-cookies/
