چرا هکرها به کوکی ها علاقه دارند؟

در این مطلب توضیح می دهیم که چگونه مهاجمان سایبری کوکی ها را رهگیری می کنند، شناسه نشست (Session ID) چه نقشی دارد و چگونه می توان از افتادن کوکی ها به دست افراد سوء استفاده گر جلوگیری کرد.

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): به‌ محض باز کردن هر وب‌ سایتی، معمولا اولین چیزی که می بینید یک اعلان پاپ آپ درباره استفاده از کوکی هاست. معمولا به شما گزینه داده می شود که همه کوکی ها را بپذیرید، تنها کوکی های ضروری را قبول کنید یا به‌ طور کامل آن ها را رد کنید. فارغ از انتخابتان، احتمالا تفاوتی احساس نخواهید کرد و اعلان هم به‌ هر حال از صفحه ناپدید می شود.

امروز قرار است عمیق تر به دنیای کوکی ها نگاه کنیم: کوکی‌ ها چه کاربردی دارند، چه انواعی وجود دارد، مهاجمان چگونه می توانند آن ها را رهگیری کنند، چه خطراتی به‌ همراه دارند و چگونه می توان در برابر آن ها ایمن ماند.

وقتی وارد یک وب سایت می شوید، آن وب سایت یک کوکی به مرورگر شما ارسال می کند. کوکی یک فایل متنی کوچک است که شامل داده هایی درباره شما، سیستم تان و فعالیت هایی است که در آن سایت انجام داده اید. مرورگر این داده ها را در دستگاه شما ذخیره می کند و هر بار که به آن وب سایت باز می گردید، دوباره به سرور ارسال می شود. این فرآیند تعامل شما با وب سایت را ساده تر می کند: دیگر لازم نیست در هر صفحه جداگانه وارد حساب شوید؛ سایت تنظیمات نمایشی شما را به خاطر می سپارد؛ فروشگاه های آنلاین اقلام موجود در سبد خرید شما را حفظ می کنند؛ سرویس های پخش آنلاین می دانند که در کدام قسمت سریال متوقف شده اید - و مزایای این مکانیزم عملا بی پایان است.

کوکی ها می توانند اطلاعات حساسی مانند نام کاربری، رمز عبور، توکن های امنیتی، شماره تلفن، آدرس محل سکونت، جزییات بانکی و شناسه نشست (Session ID) را ذخیره کنند. در ادامه نگاهی دقیق تر به مفهوم شناسه نشست خواهیم داشت.

شناسه نشست (Session ID) یک کد یکتا است که هنگام ورود به یک وب‌ سایت به هر کاربر اختصاص داده می‌ شود. اگر یک شخص ثالث بتواند این کد را رهگیری کند، سرور وب آن فرد را به‌ عنوان یک کاربر قانونی شناسایی می‌ کند. یک مثال ساده می‌ تواند این موضوع را روشن کند: تصور کنید برای ورود به دفتر کار خود از یک کارت الکترونیکی با کد یکتا استفاده می کنید. اگر کارت شما به سرقت برود، سارق - فارغ از اینکه شباهتی به شما داشته باشد یا نه – می تواند بدون مشکل وارد هر اتاقی شود که شما به آن دسترسی دارید و سیستم امنیتی نیز باور می کند که شما در حال ورود هستید. همین اتفاق به ‌صورت آنلاین رخ می دهد: اگر هکری کوکی حاوی شناسه نشست شما را بدزدد، می تواند با نام شما وارد وب ‌سایتی شود که قبلا در آن وارد شده ‌اید، بدون اینکه نیاز به وارد کردن نام کاربری و رمز عبور داشته باشد؛ گاهی حتی می تواند احراز هویت دو مرحله ‌ای را دور بزند.

برای نمونه، در سال 2023 هکرها هر سه کانال یوتیوب بلاگر مشهور تکنولوژی، لینوس سباستین - شامل "Linus Tech Tips" و دو کانال دیگر Linus Media Group با ده‌ ها میلیون مشترک - را به سرقت بردند و دقیقا از همین روش استفاده کردند. این مورد قبلا به ‌طور مفصل پوشش داده شده است.

اکنون بیایید نگاهی به گونه های مختلف کوکی ها بیندازیم. تمامی کوکی ها را می توان بر اساس چندین ویژگی گوناگون دسته بندی کرد.

• کوکی های موقت یا نشست (Session Cookies): این نوع تنها در زمانی استفاده می شوند که در وب سایت حضور دارید و به محض خروج از سایت حذف می شوند. وظیفه آن ها حفظ وضعیت ورود شما هنگام جا به‌ جایی بین صفحات یا یادآوری زبان و منطقه انتخابی است.
• کوکی های پایدار (Persistent Cookies): این نوع حتی پس از ترک سایت در دستگاه شما باقی می مانند. به کمک آن ها لازم نیست هر بار سیاست کوکی ها را بپذیرید یا رد کنید. معمولا مدت زمان ذخیره‌ سازی آن ها حدود یک سال است.

گاهی کوکی های نشست می توانند به کوکی های پایدار تبدیل شوند. برای نمونه، اگر در وب سایتی گزینه‌ هایی مانند "مرا به خاطر بسپار" یا "ذخیره تنظیمات" را انتخاب کنید، داده ها در قالب یک کوکی پایدار ذخیره می شوند.

• کوکی های شخص اول (First-party Cookies): این کوکی ها مستقیما توسط خود وب سایت ایجاد می شوند. هدف آن ها تضمین عملکرد صحیح سایت و ارائه تجربه مناسب به بازدیدکنندگان است. همچنین ممکن است برای تحلیل داده ها و اهداف بازاریابی نیز استفاده شوند.
• کوکی های شخص ثالث (Third-party Cookies): این کوکی ها توسط سرویس های خارجی جمع ‌آوری می شوند. از آن ها برای نمایش تبلیغات و گردآوری آمار تبلیغاتی و موارد مشابه استفاده می شود. این دسته شامل کوکی های سرویس های تحلیلی مانند Google Analytics و همچنین شبکه ‌های اجتماعی نیز هست. چنین کوکی هایی می توانند اطلاعات ورود شما را ذخیره کنند و امکان پسندیدن یک صفحه یا اشتراک ‌گذاری محتوا در شبکه‌ های اجتماعی را تنها با یک کلیک فراهم کنند.

• کوکی های ضروری (Required / Essential Cookies): این کوکی ها از قابلیت های اصلی وب سایت پشتیبانی می کنند؛ برای مثال، در یک فروشگاه اینترنتی که هر کاربر دارای حساب شخصی است، کوکی های ضروری اطلاعاتی مانند نام کاربری، رمز عبور و شناسه نشست (Session ID) را ذخیره می کنند.
• کوکی های اختیاری (Optional Cookies): این نوع برای ردیابی رفتار کاربر و کمک به شخصی ‌سازی دقیق ‌تر تبلیغات به کار می ‌رود. بیشتر کوکی ‌های اختیاری متعلق به سرویس‌ های خارجی هستند و تاثیری بر توانایی شما در استفاده کامل از امکانات سایت ندارند.

• این کوکی ها در قالب فایل‌ های متنی در فضای ذخیره‌ سازی استاندارد مرورگر نگهداری می شوند. وقتی داده های مرورگر را پاک کنید، این کوکی ها نیز حذف می شوند و پس از آن وب ‌سایت ‌هایی که آن ها را ارسال کرده ‌اند دیگر شما را شناسایی نخواهند کرد.
• دو زیر گروه ویژه نیز وجود دارد: سوپرکوکی ها (Supercookies) و اورکوکی ‌ها (Evercookies) که داده ‌ها را به شیوه ‌ای غیرمعمول ذخیره می کنند. سوپرکوکی ‌ها در هدرهای وب‌ سایت قرار می گیرند و در مسیرهای غیر استاندارد ذخیره می شوند؛ به همین دلیل از پاک سازی معمول مرورگر در امان می مانند. اورکوکی‌ ها حتی پس از حذف، با استفاده از جاوا اسکریپت قابل بازیابی هستند. این ویژگی باعث می ‌شود برای رهگیری طولانی‌ مدت و کنترل‌ ناپذیر کاربران مورد استفاده قرار گیرند.

شایان ذکر است که یک کوکی می ‌تواند همزمان در چندین دسته قرار گیرد؛ برای نمونه، بیشتر کوکی ‌های اختیاری از نوع شخص ثالث هستند، در حالی که کوکی‌ های ضروری شامل کوکی‌ های موقتی نیز می‌ شوند که مسئولیت امنیت یک نشست مرورگری مشخص را بر عهده دارند.

کوکی ‌هایی که شامل شناسه نشست (Session ID) هستند، جذاب ‌ترین اهداف برای هکرها به ‌شمار می ‌آیند. سرقت شناسه نشست را معمولا "ربودن نشست" (Session Hijacking) می‌ نامند. در ادامه به بررسی برخی از روش ‌های جالب و گسترده ‌ای می ‌پردازیم که مهاجمان از آن ‌ها استفاده می کنند.

سرقت نشست می ‌تواند از طریق نظارت یا "شنود" ترافیک اینترنتی میان کاربر و وب ‌سایت انجام شود. این نوع حمله معمولا در وب ‌سایت ‌هایی رخ می‌ دهد که به‌ جای پروتکل امن HTTPS از پروتکل کم ‌امنیت ‌تر HTTP استفاده می‌ کنند. در HTTP، فایل ‌های کوکی به‌ صورت متن ساده در هدر درخواست ‌ها منتقل می‌ شوند و هیچ رمزنگاری ‌ای روی آن‌ ها صورت نمی‌ گیرد. بنابراین، یک مهاجم به ‌راحتی می ‌تواند ترافیک میان شما و وب ‌سایت را رهگیری کرده و کوکی‌ ها را استخراج کند.

این نوع حملات اغلب در شبکه‌ های عمومی وای‌ فای رخ می ‌دهند، به‌ ویژه زمانی که آن‌ ها با پروتکل‌ های امنیتی WPA2 یا WPA3 محافظت نشده باشند. به همین دلیل، توصیه می ‌کنیم هنگام استفاده از نقاط اتصال عمومی (Public Hotspot) نهایت احتیاط را داشته باشید. استفاده از اینترنت موبایل بسیار ایمن‌ تر است. همچنین اگر در سفرهای خارجی هستید، استفاده از Kaspersky eSIM Store می تواند گزینه‌ ای مطمئن باشد.

حمله Cross-Site Scripting همواره در بین آسیب ‌پذیری ‌های برتر امنیت وب قرار دارد و این مقبولیت هم بی‌ دلیل نیست. این نوع حمله به مهاجمان امکان می‌ دهد به داده ‌های یک سایت - از جمله فایل ‌های کوکی حاوی شناسه‌ های نشست ارزشمند - دسترسی پیدا کنند.

روش کار چنین است: مهاجم یک آسیب ‌پذیری در کد منبع وب ‌سایت می ‌یابد و کدی مخرب (اسکریپت) را تزریق می ‌کند؛ سپس کافی است شما صفحه آلوده را باز کنید تا کوکی ‌هایتان در معرض خطر قرار گیرند. آن اسکریپت به ‌طور کامل به کوکی ‌های شما دسترسی پیدا کرده و آن ها را برای مهاجم ارسال می کند.

برخلاف بسیاری از حملات دیگر، جعل درخواست بین سایتی از رابط اعتماد میان وب ‌سایت و مرورگر شما سوء استفاده می کند. در این روش، مهاجم مرورگر کاربری که وارد حساب خود شده است را فریب ‌می دهد تا بدون اطلاع او عملی ناخواسته انجام دهد؛ برای مثال، تغییر رمز عبور یا حذف داده ‌هایی مانند ویدیوهای بارگذاری‌ شده.

برای اجرای چنین حمله ‌ای، مهاجم یک صفحه وب یا ایمیل حاوی لینکی مخرب، کد HTML یا اسکریپتی با درخواستی به وب ‌سایت آسیب ‌پذیر ایجاد می کند. کافی است شما آن صفحه یا ایمیل را باز کنید یا روی لینک کلیک کنید تا مرورگر به ‌طور خودکار درخواست مخرب را به سایت هدف ارسال کند. تمام کوکی‌ های شما برای آن سایت به درخواست پیوست می ‌شوند. وب‌ سایت نیز گمان می ‌کند این شما بوده ‌اید که درخواست تغییر رمز یا حذف کانال را ارسال کرده ‌اید و دستور مهاجم را به ‌جای شما اجرا می کند.

به همین دلیل توصیه می کنیم هرگز لینک‌ های دریافتی از افراد ناشناس را باز نکنید و از کسپرسکی پسورد منیجر (Kaspersky Password Manager) استفاده کنید. این ابزار می تواند در شناسایی لینک ‌ها یا اسکریپت‌ های مخرب به شما هشدار دهد.

گاهی مهاجمان نیازی به استفاده از شگردهای پیچیده ندارند - آن ها می توانند به سادگی شناسه نشست را حدس بزنند. در برخی وب‌ سایت ‌ها، شناسه ‌های نشست با الگوریتم ‌های قابل ‌پیش‌ بینی تولید می‌ شوند و ممکن است شامل اطلاعاتی مانند آدرس IP شما به‌ علاوه رشته ‌ای از کاراکترهای قابل تولید مجدد باشند.

برای اجرای این نوع حمله، هکرها باید نمونه ‌های کافی از شناسه ‌ها را جمع ‌آوری کنند، آن‌ ها را تحلیل نمایند و در نهایت الگوریتم تولید کننده را کشف کنند تا بتوانند شناسه‌ های نشست را خودشان پیش ‌بینی کنند.

روش‌ های دیگری نیز برای سرقت شناسه نشست وجود دارد، مانند تثبیت نشست (Session Fixation)، پرتاب کوکی (Cookie Tossing) و حملات "مرد میانی (Man-in-the-Middle)" یا MitM.

بخش بزرگی از مسئولیت امنیت کوکی ‌ها بر عهده توسعه‌ دهندگان وب ‌سایت ‌هاست. با این حال، اقداماتی وجود دارد که همه ما می توانیم برای حفظ امنیت آنلاین خود انجام دهیم:

• تنها در وب ‌سایت ‌های با پروتکل HTTPS اطلاعات شخصی وارد کنید. اگر در نوار آدرس "HTTP" مشاهده کردید، از پذیرش کوکی ‌ها یا ارسال اطلاعات حساس مانند نام کاربری، رمز عبور یا جزییات کارت بانکی خودداری کنید.
• به هشدارهای مرورگر توجه کنید. در صورتی که هنگام بازدید از سایتی با هشداری درباره گواهی امنیتی نامعتبر یا مشکوک مواجه شدید، فورا صفحه را ببندید.
• مرورگرهای خود را به ‌روز نگه دارید یا به‌ روز رسانی خودکار را فعال کنید. این کار شما را در برابر آسیب ‌پذیری ‌های شناخته ‌شده محافظت می کند.
• کوکی‌ ها و حافظه کش مرورگر را به ‌طور منظم پاک کنید. این اقدام از سوء استفاده از فایل ‌های کوکی قدیمی یا شناسه ‌های نشست احتمالی جلوگیری می کند. اکثر مرورگرها امکان حذف خودکار این داده ‌ها هنگام بستن را دارند.
• از کلیک روی لینک‌ های مشکوک خودداری کنید. به‌ ویژه لینک ‌هایی که از افراد ناشناس در پیام ‌رسان ‌ها یا ایمیل دریافت می کنید. اگر تشخیص لینک واقعی از فیشینگ برایتان دشوار است، از کسپرسکی پریمیوم (Kaspersky Premium) استفاده کنید تا قبل از ورود به سایت‌ های مخرب به شما هشدار دهد.
• احراز هویت دو مرحله ‌ای (2FA) را در همه خدمات ممکن فعال کنید. مدیریت رمز عبور کسپرسکی (Kaspersky Password Manager) راهی مناسب برای ذخیره توکن‌ های 2FA و تولید کدهای یکبار مصرف است و آن‌ ها را در تمام دستگاه‌ های شما همگام‌ سازی می کند، که دسترسی مهاجم به حساب شما پس از پایان نشست را حتی در صورت سرقت شناسه نشست دشوار می کند.
• پذیرش تمام کوکی ‌ها در همه وب‌ سایت‌ ها را رد کنید. قبول کردن همه کوکی ‌ها از همه سایت ‌ها بهترین استراتژی نیست. بسیاری از وب ‌سایت ‌ها اکنون امکان انتخاب بین "پذیرش همه" و "پذیرش فقط کوکی‌ های ضروری" را ارائه می دهند. هرگاه ممکن است، گزینه "فقط کوکی های ضروری" را انتخاب کنید، زیرا این ‌ها همان کوکی ‌هایی هستند که برای عملکرد صحیح سایت لازم ‌اند.
• استفاده از شبکه‌ های عمومی Wi-Fi را به آخرین راه‌ حل محدود کنید. این شبکه‌ ها اغلب به‌ خوبی ایمن نیستند و مهاجمان می توانند سوء استفاده کنند. اگر مجبور به اتصال هستید، از ورود به حساب‌ های شبکه‌ های اجتماعی یا پیام ‌رسان، استفاده از بانکداری آنلاین و دسترسی به سایر خدمات نیازمند احراز هویت خودداری کنید.

خرید آنتی ‌ویروس کسپرسکی در سال ۲۰۲۵ یعنی انتخاب یکی از معتبرترین برندهای امنیتی دنیا برای محافظت از اطلاعات شخصی، حساب ‌های بانکی و حتی شبکه ‌های کاری. نسخه‌ های جدید این محصول کسپرسکی استاندارد (Kaspersky Standard)، کسپرسکی پلاس (Kaspersky Plus) و کسپرسکی پریمیوم (Kaspersky Premium) جایگزین کامل نسخه ‌های قدیمی شده ‌اند و با تکیه بر فناوری هوش مصنوعی و امنیت چندلایه، بهترین دفاع را در برابر ویروس ‌ها، بدافزارها، باج ‌افزارها و حملات فیشینگ ارائه می دهند.

با خرید هرکدام از این محصولات، امکاناتی مانند:

• محافظت پیشرفته در برابر تهدیدات آنلاین
• ابزار مدیریت رمز عبور (Kaspersky Password Manager)
• امنیت کودکان (Kaspersky Safe Kids)
• VPN امن برای حفظ حریم خصوصی
• کارایی بالا با کمترین مصرف منابع سیستم

در اختیار شما قرار خواهد گرفت.

برای اطمینان از اصالت لایسنس و دریافت خدماتی مانند گارانتی، پشتیبانی رایگان، مشاوره تخصصی و تخفیف تمدید، بهترین راه خرید از فروشگاه آنلاین شرکت ایده ارتباط تراشه است. این فروشگاه به ‌عنوان نماینده رسمی، تمامی محصولات کسپرسکی را با ضمانت و تحویل فوری ارائه می دهد.