يحدث هجوم اختطاف الجلسة عندما يتولى المهاجم جلسة الإنترنت الخاصة، على سبيل المثال، أثناء القيام بفحص رصيد البطاقة الائتمانية أو سداد الفواتير أو التسوق في متجر عبر الإنترنت، عادةً ما يستهدف مخترقو الجلسات جلسات المتصفح أو تطبيقات الويب، حيث يمكن للمهاجم الذي يقوم باختطاف الجلسة بعد ذلك القيام بأي شيء يمكن القيام به على الموقع، في الواقع، يخدع أحد الخاطفين الموقع ليعتقد أنه المستخدم نفسه.
كيف يعمل هجوم قرصنة الجلسة
- الخطوة الأولى: يقوم مستخدم الإنترنت المطمئن بتسجيل الدخول إلى حساب، كما يجوز للمستخدم تسجيل الدخول إلى حساب مصرفي أو موقع بطاقة ائتمان أو متجر عبر الإنترنت أو تطبيق أو موقع آخر، حيث يقوم التطبيق أو الموقع بتثبيت ملف تعريف ارتباط جلسة مؤقت في متصفح المستخدم، ويحتوي ملف تعريف الارتباط هذا على معلومات حول المستخدم تسمح للموقع بالحفاظ على مصادقته وتسجيل الدخول وتتبع نشاطه أثناء الجلسة، ويظل ملف تعريف ارتباط الجلسة في المتصفح حتى يقوم المستخدم بتسجيل الخروج أو تسجيل الخروج تلقائيًا.
- الخطوة الثانية: يكتسب المجرم الوصول إلى جلسة مستخدم الإنترنت الصالحة، حيث انه لدى مجرمي الإنترنت طرق مختلفة لسرقة الجلسات، وتتضمن العديد من الأنواع الشائعة لاختطاف الجلسة الاستيلاء على ملف تعريف ارتباط جلسة المستخدم، وتحديد موقع معرف الجلسة داخل ملف تعريف الارتباط، واستخدام هذه المعلومات لتولي الجلسة، يُعرف معرف الجلسة أيضًا باسم مفتاح الجلسة، عندما يحصل المجرم على معرف الجلسة، كما يمكنه تولي الجلسة دون أن يتم اكتشافه.
- الخطوة الثالثة: يحصل مختطف الجلسة على مكافأة لسرقة الجلسة، حيث بمجرد أن يذهب مستخدم الإنترنت الأصلي في طريقه، ويمكن للخاطف استخدام الجلسة المستمرة لارتكاب مجموعة من الأعمال الضارة، ويمكنهم سرقة الأموال من الحساب المصرفي للمستخدم أو شراء العناصر أو الاستيلاء على البيانات الشخصية لارتكاب سرقة الهوية أو تشفير البيانات المهمة والمطالبة بفدية لإعادتها.
طرق اختطاف الجلسة
- القوة الغاشمة، في هجوم القوة الغاشمة، يخمن المهاجم معرف الجلسة ويستخدمه لاختطاف الجلسة، عادةً ما تعمل هجمات القوة الغاشمة فقط عندما يكون موقع الويب يتمتع بأمان ضعيف ويستخدم مفاتيح جلسة قصيرة وسهلة التخمين.
- البرمجة النصية عبر المواقع، يستفيد هجوم البرمجة عبر المواقع من نقاط ضعف الأمان في خادم الويب، في البرمجة النصية عبر المواقع، يقوم المهاجم بحقن البرامج النصية في صفحات الويب، تتسبب هذه البرامج النصية في قيام مستعرض الويب الخاص بكشف مفتاح الجلسة للمهاجم حتى يتمكن من تولي الجلسة.
- البرامج الضارة، يمكن لمجرمي الإنترنت خداع المستخدم للنقر فوق ارتباط يقوم بتثبيت برامج ضارة على الجهاز للسماح لهم باختطاف جلسة ما، قد تقوم البرامج الضارة بمسح وإجراء استنشاق الجلسة للعثور على جلسة، ثم يمسك البرنامج الضار بملف تعريف ارتباط الجلسة ويرسله إلى المجرم، الذي يمكنه بعد ذلك الحصول على معرف الجلسة الخاص لتولي الجلسة.
- الاستيلاء على جانب الجلسة، في هذا النوع من الهجوم، يحتاج المجرم إلى الوصول إلى حركة مرور شبكة المستخدم، يمكنهم الوصول عندما يستخدم المستخدم شبكة (Wi-Fi) غير آمنة أو من خلال الانخراط في هجمات (man-in-the-middle)، في الاختراق الجانبي للجلسة، يستخدم المجرم استنشاق الحزمة لمراقبة حركة مرور شبكة مستخدم الإنترنت للبحث عن الجلسات، بهذه الطريقة، يكون المهاجم قادرًا على الحصول على ملف تعريف ارتباط الجلسة واستخدامه لتولي الجلسة.
- تثبيت الجلسة، في هجوم تثبيت الجلسة، ينشئ المجرم معرف جلسة ويخدع المستخدم لبدء جلسة به، تتمثل إحدى الطرق الشائعة للقيام بذلك في إرسال بريد إلكتروني إلى المستخدم به رابط إلى نموذج تسجيل الدخول لموقع الويب الذي يريد المهاجم الوصول إليه، يقوم المستخدم بتسجيل الدخول باستخدام معرف الجلسة الوهمية، مما يمنح المهاجم طريقًا إلى الباب.
أدوات اختراق جلسة الإنترنت
- (CookieCadger – CookieCadger) هي أداة مفتوحة المصدر يمكنها تحديد تسرب المعلومات من تطبيقات الويب، يمكنه مراقبة كل من شبكة إيثرنت سلكية وشبكة (Wi-Fi) غير آمنة للمعلومات غير المشفرة بما في ذلك ملفات تعريف الارتباط للجلسة.
- (DroidSheep – DroidSheep|) هي أداة (Android) مفتوحة المصدر تسمح للمستخدم بانتزاع ملفات تعريف الارتباط الخاصة بالجلسة وغيرها من المعلومات غير المحمية من جلسات تصفح الويب غير المحمية عبر شبكة (Wi-Fi).
- (FireSheep) امتدادًا لمتصفح تم إنشاؤه لمتصفح (Firefox)، سمح امتداد (FireSheep) للمهاجمين باستخدام استنشاق الحزمة للعثور على ملفات تعريف الارتباط للجلسة غير المشفرة ونسخها والتي يمكن استخدامها لتنفيذ هجمات اختطاف الجلسة، استغل (FireSheep) الثغرات الأمنية ولم يعد يعمل مع متصفح (FireFox).
