Predstavljajte si, da ste povezani z javnim omrežjem, pregledujete e-pošto ali dostopate do nadzorne plošče svojega podjetja. Vse izgleda normalno. Toda obstaja nekdo več povezan z vami. Njegovega obraza ne vidite, njegove tipkovnice ne slišite, vendar je tam. In v nekaj sekundah lahko prevzame nadzor nad vašo sejo, ne da bi poznal vaše geslo. To je ugrabitev seje, znan tudi kot prevzemanje sej.
Ta vrsta napadov je postala bolj pogosta in izpopolnjena ter prizadene tako posamezne uporabnike kot podjetja vseh velikosti. Najhujše pa je, da pogosto ostane neopažena, dokler ni prepozno.
Kako deluje ugrabitev seje?
Načelo je preprosto: ko se povežete s spletno stranjo, ta ustvari seja za identifikacijo in ohranjanje avtentifikacije med brskanjem. Ta seja je običajno povezana s piškotkom ali žetonom. Če napadalec uspe prestreči ali ponarediti ta identifikator, lahko deluje v vašem imenu, ne da bi imel neposreden dostop do vašega gesla.
Najpogostejše oblike, v katerih se to dogaja, vključujejo:
- Vohanje: zajemanje nešifriranih podatkov v javnih omrežjih Wi-Fi.
- Kraja piškotkov: prek zlonamernih skriptov ali razširitev brskalnika.
- Fiksiranje seje (session fixation): napadalec prisili uporabnika, da uporabi vnaprej določeno ID seje.
- Medmrežno skriptanje (XSS): vstavljanje zlonamernega kode v zaupanja vredne strani.
- Man-in-the-middle (MITM): prestrezanje podatkov med uporabnikom in strežnikom, zlasti pri nešifriranih povezavah.
Zakaj je to tako nevarno za podjetja?
Ker ne ogroža samo podatkov uporabnika, ampak odpira vrata notranjim orodjem, upravnim ploščam, računom strank ali kritičnim storitvam. Vse to, ne da bi sistem zaznal “sumljivo” prijavo, saj je ukradena seja legitimna.
Zaposleni, ki dela iz coworking prostora, vodstveni delavec, ki uporablja Wi-Fi na letališču, in celo dobavitelj, ki dostopa iz svojega doma, so pogosti primeri, v katerih se to tveganje uresniči.
Kaj lahko storite danes, da se zaščitite
Da bi bili korak pred konkurenco, vam ni treba spreminjati celotne infrastrukture. Zadostuje, da uporabljate jasne in dosledne prakse:
1. Vedno uporabljajte HTTPS (in preverite, ali je aktiven)
Ni dovolj, da je spletno mesto “varno”. Prepričajte se, da vse strani (ne samo prijava) so pod HTTPS. Brskanje po spletnih mestih, ki mešajo šifrirano in nešifrirano vsebino (mešana vsebina) je odprta vrata za prestrezanje sej.
2. Daj prednost zasebnim omrežjem ali uporabi VPN
Izogibajte se povezovanju z nezavarovanimi javnimi omrežji Wi-Fi. Če ni druge možnosti, uporabite VPN zanesljiv, ki šifrira ves promet iz vaše naprave. To blokira dostop tistim, ki poskušajo prestreči vaše podatkovne pakete.
3. Vedno se odjavite iz svojih sej.
Zdi se osnovno, vendar mnogi ljudje preprosto zaprejo zavihko brskalnika. S tem ostane seja aktivna. Ko končate, se prepričajte, da kliknete “Odjavi se”, še posebej pri kritičnih storitvah ali bančnih storitvah.
4. Izvedite samodejno potek seje
V poslovnem okolju je bistveno, da se določijo najdaljši časi nedejavnosti za samodejno zaključevanje sej. To zmanjša čas izpostavljenosti v primeru ugrabitve.
5. Preverite varnostna opozorila na svojih platformah.
Mnoge aplikacije pošiljajo obvestila, ko je na voljo nova seja z druge naprave ali lokacije. Vklopite vsa razpoložljiva obvestila in jih redno preverjajte.
6. Zmanjšajte uporabo razširitev v brskalniku
Nekatere razširitve imajo prekomerna dovoljenja, ki lahko ogrozijo vašo sejo. Uporabljajte samo nujno potrebne razširitve iz preverjenih virov in jih vedno posodabljajte.
Kar ne smete pozabiti
Ugrabitev seje ne zahteva naprednih tehnik ali velikega proračuna s strani napadalca. Zadošča že majhna ranljivost, nezavarovano omrežje ali nepazljivost, da lahko ima uničujoče posledice.
Ne gre za to, da bi živeli v digitalni paranoji, ampak za to, da prevzamete odgovorne navade, ki vam omogočajo mirno delovanje. Vi in vaša ekipa lahko delate od kjerkoli, če to počnete razumno in varno.
V podjetju MasterBase® smo pripravljeni in imamo platformo, s katero vam lahko na preprost, učinkovit in cenovno ugoden način pomagamo pri avtomatizaciji vaših poslovnih procesov, ki so že od samega začetka zasnovani na varnosti. Poleg tega lahko zaprosite za pomoč svetovalca, ki vam bo pomagal opredeliti in izvesti avtomatiziran proces, prilagojen vašim potrebam. Tako ne boste le zmanjšali tveganja, ampak tudi povečali učinkovitost vsakega digitalnega koraka, ki ga naredite.
