Volgens cybersecuritybedrijf NordVPN zijn er op dit moment meer dan 93,7 miljard gestolen cookies beschikbaar op het dark web en via Telegram-marktplaatsen. Daarvan is gemiddeld zeven tot negen procent nog actief en bruikbaar voor cybercriminelen, goed voor miljarden digitale sleutels tot persoonlijke gegevens.
Cookies, vaak gedacht als onschuldige hulpmiddelen voor gebruiksgemak op websites, blijken een toenemend risico te vormen. “Wat bedoeld was om gemak te brengen, is nu een kwetsbaarheid geworden”, stelt Adrianus Warmenhoven, cybersecurityadviseur bij NordVPN. “Een gestolen cookie kan net zo gevaarlijk zijn als een wachtwoord.”
Met name sessiecookies zijn geliefd onder cybercriminelen. Deze kunnen toegang geven tot e-mailaccounts, bankapps of bedrijfsomgevingen – zónder inloggegevens of zelfs zonder dat multi-factorauthenticatie (MFA) nodig is. Meer dan 1,2 miljard van deze cookies zijn momenteel verhandelbaar.
Sessiebeveiliging
De overgrote meerderheid van de gestolen cookies (90,25 procent) bevat identificatiedata, vooral gebruikt voor advertenties. Slechts een klein deel (0,5 procent) bevat gevoelige gegevens zoals namen, adressen of wachtwoorden, wat het risico op directe identiteitsdiefstal enigszins beperkt. Toch blijft het gevaar van actieve sessiecookies aanzienlijk, zeker in bedrijfscontexten waarin bijvoorbeeld Single Sign-On (SSO) gebruikt wordt.
Gestolen cookies
De meeste cookies worden buitgemaakt met behulp van infostealer-malware. Redline is de meest voorkomende en verantwoordelijk voor 44 procent van de gestolen cookies. Andere bekende malware zijn Vidar, LummaC2 en Meta. Deze tools zijn relatief goedkoop: voor slechts $150 tot $250 kunnen criminelen al aan de slag.
Browsergeschiedenis opruimen
Wat kun je doen? NordVPN raadt aan om niet zomaar alle cookies te accepteren, vooral niet van derden. Houd software up-to-date, ruim regelmatig je browsergeschiedenis op, en verwijder ongebruikte cookies. Denk eraan dat sessies soms actief blijven, ook nadat je je browser sluit. Controleer ook je privacyinstellingen, en deel gegevens enkel met betrouwbare partijen.
In een wereld waar gemak steeds vaker ten koste gaat van veiligheid, is bewustwording de eerste verdedigingslinie.