Amenințări
Ce este un infostealer: cum îți fură parolele și ocolește autentificarea în doi pași
Un infostealer fură parolele și cookie-urile salvate de pe dispozitiv, iar cu un cookie de sesiune poate ocoli chiar autentificarea în doi pași. Vezi cum funcționează, cum ajunge la tine și ce faci dacă ești infectat.
Schimbi parola și tot îți intră cineva în cont. Ai autentificare în doi pași, dar atacatorul pare să o ocolească. De multe ori, în spate e un infostealer: un program rău intenționat care a furat deja parolele și, mai grav, cookie-urile de sesiune de pe dispozitivul tău.
Vei vedea ce este un infostealer, ce date fură, de ce furtul cookie-urilor de sesiune poate ocoli chiar autentificarea în doi pași, cum ajunge pe calculator și ce faci dacă ai fost infectat. E una dintre cele mai active amenințări de acum și poarta de intrare pentru multe atacuri mari.
Ce este un infostealer
Un infostealer, sau program de furt de informații, este un tip de malware specializat în recoltarea de date sensibile de pe dispozitivul infectat: parolele salvate în browser, cookie-urile de sesiune, datele de autocompletare, datele de card și portofelele de criptomonede, plus informații despre sistem. Datele furate sunt împachetate în așa-numitele „logs" și deseori vândute în masă pe piețele infracționale. Multe infostealere funcționează ca serviciu, pe bază de abonament, deci sunt la îndemâna oricui.
De ce poate ocoli autentificarea în doi pași
Cookie-ul de sesiune furat poate sări peste 2FA
Cum funcționează
Logica e simplă și industrializată: infectează dispozitivul, colectează parolele, cookie-urile și portofelele, le împachetează într-un „log" și le exfiltrează către atacator, deseori prin canale ca Telegram. De acolo, datele devin marfă: se vând individual sau în pachete, iar brokerii de acces le cumpără în masă, le validează și le revând, inclusiv unor grupuri de ransomware. Așa, o singură infecție pe un laptop personal poate deveni punctul de intrare într-o firmă.
Cum ajunge pe calculator
Software piratat și cheat-uri
Programe crăpate, generatoare de licențe și cheat-uri de jocuri descărcate din surse nesigure.
Reclame false în căutări (malvertising)
Rezultate sponsorizate care imită site-ul oficial al unui program și duc la un instalator infectat.
Actualizări și instalatoare false
Ferestre care îți cer să actualizezi browserul sau un plugin, dar instalează de fapt malware.
Phishing și momeli ClickFix
Atașamente periculoase sau pagini de tip verificare CAPTCHA falsă care îți cer să rulezi singur o comandă.
Familii cunoscute, semnalate public, sunt RedLine, Lumma, Vidar, StealC sau Raccoon. Unele au fost lovite de acțiuni internaționale ale poliției, dar apar mereu altele, așa că ideea rămâne valabilă indiferent de nume.
Ce faci dacă ai fost infectat
Ordinea contează, fiindcă dispozitivul infectat fură în continuare.
Izolează dispozitivul
Deconectează-l de la internet ca să oprești exfiltrarea și nu mai introduce parole pe el.
Schimbă parolele de pe alt dispozitiv
De pe un dispozitiv curat, schimbă toate parolele, începând cu emailul și managerul de parole.
Revocă toate sesiunile active
Pasul esențial: deconectarea de peste tot anulează cookie-urile de sesiune furate, care altfel ocolesc parola și 2FA.
Reactivează 2FA și verifică finanțele
Activează din nou autentificarea în doi pași și verifică conturile bancare și portofelele de criptomonede.
Curăță sau reinstalează dispozitivul
Cea mai sigură soluție e reinstalarea sistemului. Nu te baza pe o singură scanare și atenție la restaurarea dintr-un backup care poate readuce malware-ul.
Cum previi infecția
Nu instala software piratat și tratează cu suspiciune linkurile de descărcare din reclamele de la căutări, folosind site-urile oficiale. Ține sistemul și browserul la zi, folosește o soluție de securitate, un manager de parole și autentificare rezistentă la phishing, ideal passkey-uri. Și fii sceptic la orice pagină care îți cere să „rulezi această comandă" sau să confirmi că nu ești robot printr-un pas neobișnuit.
Concluzie
Infostealerele sunt motivul pentru care, după o infecție, schimbarea parolei singură nu ajunge. Sunt o formă de malware și explică de multe ori situația din ghidul despre de ce îți intră cineva în cont deși schimbi parola. Tot ele alimentează atacurile de tip credential stuffing.
Vrei să nu devii poarta de intrare într-o firmă
Întrebări frecvente
Ce este un infostealer?
Este un tip de malware specializat în furtul de date sensibile de pe dispozitivul infectat: parolele salvate în browser, cookie-urile de sesiune, datele de autocompletare, datele de card și portofelele de criptomonede. Datele furate sunt împachetate în așa-numitele „logs" și deseori vândute în masă pe piețele infracționale. Multe sunt vândute ca serviciu, pe bază de abonament.
Cum poate un infostealer să ocolească autentificarea în doi pași?
Prin furtul cookie-ului de sesiune. După ce te-ai logat și ai trecut de pasul al doilea, serviciul îți dă un cookie care dovedește că ești deja autentificat. Dacă un infostealer fură acel cookie, atacatorul îl importă în browserul lui și poate continua sesiunea ta fără parolă și, de multe ori, fără să mai treacă de autentificarea în doi pași. Tocmai de aceea, după o infecție, trebuie să revoci toate sesiunile, nu doar să schimbi parola.
Cum ajunge un infostealer pe calculator?
Cele mai frecvente căi: software piratat și cheat-uri de jocuri, reclame false în motoarele de căutare care imită site-uri oficiale de download, actualizări și instalatoare false, atașamente de phishing și momeli de tip „rulează această comandă" sau verificare CAPTCHA falsă. Familii cunoscute, semnalate public, sunt RedLine, Lumma, Vidar, StealC sau Raccoon, unele lovite de acțiuni internaționale ale poliției, dar mereu apar altele.
Ce fac dacă am fost infectat cu un infostealer?
De pe un dispozitiv curat, schimbă toate parolele, începând cu emailul și managerul de parole, și revocă toate sesiunile active, ca să anulezi cookie-urile furate. Reactivează autentificarea în doi pași, verifică conturile financiare și portofelele de criptomonede. Foarte important, curăță sau reinstalează dispozitivul infectat: orice parolă nouă tastată pe el e furată din nou. Nu te baza pe o singură scanare.
Citește și
AmenințăriCe este malware și ce tipuri există
Malware e termenul-umbrelă pentru orice program rău intenționat. Vezi ce este, principalele tipuri (virus, vierme, troian, spyware, infostealer și altele), cum se răspândește și cum te aperi.
AmenințăriDe ce îmi sparge contul deși schimb parola
Ai schimbat parola, dar atacatorul tot intră. Nu e magie: sunt sesiuni rămase deschise, un program care fură date pe dispozitiv sau accese ascunse. Iată de ce și ce faci, în ordinea corectă.
AmenințăriCredential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.