PayPal, “süper çerez”in ne zaman çalındığını tespit edebilen, çerez tabanlı kimlik doğrulama mekanizmasını iyileştirebilecek ve hesap ele geçirme saldırılarını sınırlandırabilecek yeni bir yöntem için patent başvurusunda bulundu.
PayPal’ın ele almak istediği risk, bilgisayar korsanlarının, geçerli kimlik bilgilerine ihtiyaç duymadan ve iki faktörlü kimlik doğrulamayı (2FA) atlayarak kurban hesaplarına giriş yapmak için kimlik doğrulama jetonları içeren çerezleri çalmasıdır.
PayPal, patent başvurusunda “Çerez hırsızlığı, bir saldırganın kurbanın bilgisayarından çerezleri çaldığı veya saldırganın web tarayıcısına kopyaladığı karmaşık bir siber saldırı biçimidir” diyor.
“Çoğunlukla karma şifreler içeren çalınan çerezler sayesinde, saldırgan, kullanıcının (veya kimlik doğrulaması yapılmış cihazının) kimliğine bürünmek için saldırganın bilgisayarındaki bir web tarayıcısını kullanabilir ve manuel olarak oturum açmaya veya kimlik doğrulama bilgilerini sağlamaya gerek kalmadan kullanıcının hesabıyla ilişkili güvenli bilgilere erişebilir. ,” daha ayrıntılı olarak açıklanmaktadır.
Sistem ayrıntıları
Yerel olarak depolanan standart çerezlerin aksine, süper çerezler (“Flash çerezleri” olarak da anılır), kullanıcının internet servis sağlayıcısı (ISP) tarafından ağ düzeyinde benzersiz tanımlayıcı başlıklar (UIDH) olarak enjekte edilen Yerel Paylaşılan Nesnelerdir (LSO’lar).
Bu süper çerezler öncelikle siteler arası izleme, aynı cihazdaki farklı tarayıcılardaki kullanıcıları takip etmek, tarama etkinliğine ilişkin verileri toplamak ve kalıcı “cihaz parmak izleri” olarak hizmet etmek için kullanılır.
Süper çerezlerin algılanması ve silinmesi daha zordur çünkü tarayıcının standart çerez depolama konumunda saklanmazlar.
PayPal mühendisleri, elektronik ödeme platformundaki sahte oturum açma girişimlerini tespit etmek amacıyla çerez tabanlı kimlik doğrulama mekanizmasında sahtekarlık riski puanını hesaplamak için bir yöntem belirledi.
Bir sistem, bir kullanıcının cihazından kimlik doğrulama talebi aldığında, cihazdaki çeşitli çerez depolama konumlarını tanımlar ve bunları “dolandırıcılık riskini artırma sırasına göre” sıralar.
Patent başvurusunun özetinde “Her depolama konumu için bir çerez değeri cihazdan alınır. İlklerden sonraki her depolama konumu için: beklenen bir çerez değeri, önceki depolama konumunun çerez değerine göre hesaplanır” ifadesi yer alıyor.
PayPal’ın sistemi daha sonra beklenen çerez değerlerini cihazın depolama konumları için atanan değerlerle karşılaştırarak bir risk puanı değerlendirir.
“Kimlik doğrulama isteği, depolama konumlarından en az biri için atanan puanın sahtekarlık tespiti için önceden belirlenmiş bir risk toleransını aşıp aşmadığına bağlı olarak işlenir.”
Sistem, risk değerlendirmesine bağlı olarak kimlik doğrulama isteklerini buna göre yönetir, oturum açma girişiminin onaylanması için ek güvenlik önlemlerini kabul eder, reddeder veya etkinleştirir.
Kurcalamaya karşı güvenliği sağlamak için, alınan çerez değerleri, genel anahtar şifreleme algoritması kullanılarak şifrelenir.
PayPal’ın patenti, kimlik doğrulama işlemi sırasında çerezlerin meşru bir şekilde kullanılmasını sağlayarak siber saldırılara karşı savunmayı amaçlayan bir yöntemi açıklamaktadır.
Elektronik ödeme devi, Temmuz 2022’de “Çalınan Çerez Tespiti için Süper Çerez Tanımlaması” başlıklı patenti sundu ve bu patent, bu ayın başlarında Amerika Birleşik Devletleri Patent ve Ticari Marka Ofisi tarafından yayınlandı.
Tüm patentlerde olduğu gibi, belgede açıklanan teknolojinin tüketici portallarına bu şekilde veya başka bir şekilde ulaşacağına dair bir garanti yoktur, ancak izinsiz girişler için çalınan web çerezlerinin yeni koruma mekanizmalarını hak etmek için yeterli bir sorun olduğunu göstermektedir.