PayPal подала патент на новый метод обнаружения украденных куки

PayPal подала патент на новый метод обнаружения украденных куки

Компания представила «умную» защиту от взломов через суперкуки.

image

PayPal предложила новый способ борьбы с захватом аккаунтов через super-cookie файлы, что существенно повысит безопасность аутентификации через куки и снизит риски атак на аккаунты пользователей.

Компания стремится предотвратить действия хакеров, которые крадут куки с данными для входа, которые предоставляют доступ к чужим аккаунтам без пароля и позволяют обходить двухфакторную аутентификацию (2FA).

В заявке на патент от PayPal говорится, что кража куки — это сложная форма кибератаки, при которой атакующий копирует куки с компьютера жертвы на свой браузер. Захваченные куки часто содержат хешированные пароли, позволяя злоумышленнику выдавать себя за пользователя и получать доступ к защищённой информации аккаунта без необходимости ввода учетных данных.

В отличие от стандартных cookie-файлов, хранящихся локально, суперкуки (флэш-куки) вводятся на сетевом уровне в виде заголовков уникальных идентификаторов (UIDH) интернет-провайдером пользователя. Суперкуки труднее обнаружить и удалить, поскольку они не хранятся в стандартном месте хранения cookie-файлов браузера.

Супер-куки используются для отслеживания активности пользователя на различных сайтах и устройствах. Они могут собирать данные о посещенных страницах и действиях в интернете, создавая уникальный отпечаток устройства.

Системная логика нового метода PayPal

Инженеры PayPal разработали метод, позволяющий оценить риск мошенничества при входе в систему, анализируя информацию из разных мест хранения куки на устройстве. Система сравнивает ожидаемые и фактические значения куки, присваивая оценку риска каждому запросу на аутентификацию. В зависимости от оценки, запрос может быть принят, отклонен или потребовать дополнительных мер безопасности. Для обеспечения защиты данных, информация из куки шифруется с использованием современных криптографических методов.

Патент был подан в июле 2022 года, но был опубликован только 1 февраля. Хотя наличие патента не гарантирует его скорое внедрение в продукты для пользователей, он демонстрирует, что PayPal серьезно относится к проблеме безопасности и стремится разрабатывать новые способы защиты от несанкционированного доступа.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь