什么是“Cookie盗窃”？

一家物流公司的销售主管在咖啡店使用Wi-Fi连接时，收到了来自某个联系人的“赞助协议”。 该附件会安装一个信息窃取程序，该程序会复制用户浏览器中当前活跃的会话中的Cookie数据。 几分钟后，攻击者再次使用那些Cookie来访问受害者的网络应用程序，就好像这些Cookie是自己的一样。 没有密码提示信息，通常也没有多因素认证提示。 这种模式已经变得相当普遍了，以至于谷歌将Cookie和认证令牌的盗窃行为描述为在2025年呈上升趋势且越来越严重的问题。 在本文中，我们将探讨 Cookie劫持的原理以及预防此类问题的方法。

Cookie盗窃的定义

Cookie盗窃是一种攻击方式，犯罪分子会从用户的浏览器中窃取认证Cookie（通常是会话Cookie），然后利用这些Cookie来再次登录该用户的账户。犯罪分子甚至不需要输入密码即可实现这种攻击。

攻击者喜欢使用这种方法，因为这种方式可以跳过密码猜测的步骤，同时还可以绕过多因素认证机制。因为受害者已经完成了该会话中的多因素认证步骤。

Cookie盗窃是如何进行的呢？

当你点击某个新链接时，网站会立刻忘记你的身份。因此，网站会使用 cookie（以及其他标记）来确保用户在整个浏览过程中保持登录状态。

当您登录时，该服务会生成一个会话标识符，并将其作为Cookie数据存储在浏览器中。在后续对该服务的请求中，浏览器会自动携带这个Cookie，这样服务器就能识别出已经通过身份验证的会话。这实际上意味着：“还是原来的我啊。”

Cookie窃取事件发生在攻击者截获了这种数据交换过程，或者直接从浏览器中获取了相关文件时。这种情况通常是通过以下途径发生的：

• 那些窃取浏览器本地存储中的Cookie的恶意软件或“信息窃取器”
• 这些攻击手段利用了“中间人攻击”技术，即在受害者登录后，能够捕获其会话令牌。
• 跨站脚本攻击（XSS），这种攻击方式只有在网站未能设置相应的防护措施时才会发生。仅限HTTP访问对于敏感型Cookie来说
• 网络拦截通常发生在以下情况：当流量没有经过适当的加密处理时，或者当用户被诱导接受带有恶意TLS证书的通信时。

Cookie盗窃攻击的典型生命周期：

1. 注射或拦截：攻击者找到了一种方法来获取受害者的会话令牌。这种手段可能是通过设备上的信息窃取程序、XSS漏洞，或者BitM的钓鱼攻击来实现的。
2. 数据外泄/泄露被窃取的 Cookie/令牌会被发送给攻击者，通常就是被发送到命令与控制服务器上。
3. 重放/回放攻击者将窃取到的Cookie或令牌加载到自己的浏览器中（或者将其用于脚本请求），从而模拟受害者的会话状态。
4. 未经授权的访问：该服务会接受该令牌，并授予访问权限。不过，一些服务仍然需要重新进行身份验证，以执行高风险操作。不过，大多数账户劫持的情况都是攻击者先进入已经经过身份验证的会话中开始的。

一旦进入系统内部，攻击者就拥有与用户相同的权限。如果用户是管理员，那么攻击者现在也成为了管理员。Cookie盗窃行为使得攻击者能够篡改敏感信息。他们还可以发起银行转账操作，或者将攻击范围扩展到网络中的其他系统。Cookie盗窃行为实际上可能成为导致整个系统被攻破的入口点。

涉及敏感数据的Cookie盗窃在现实中的案例

要了解这个问题的严重性，我们必须看看Cookie盗窃行为是如何发生的。这种行为影响的对象非常广泛，从大型游戏公司到科技领域的知名人物，都有可能受到其影响。

“Genesis Market”：通过购买Cookie数据来获取未经授权的访问权限。

其中一个最著名的会话劫持案例，导致了一次大规模的攻击事件。电子艺界（EA）这家游戏巨头旗下的黑客组织Lapsus$成功在暗网上购买了被盗的会话Cookie数据。他们从名为Genesis的市场平台上购买了特定的Cookie数据。Genesis市场出售的是包含被盗凭证、浏览器指纹以及Cookie数据的“机器人”，这些“机器人”可以被用来模拟受害者的浏览器会话。2023年，执法部门成功查获了这个市场。

这些Cookie属于一名EA员工，该员工感染了恶意软件。该恶意软件在后台默默地窃取了用户的Cookie信息。攻击者声称自己购买了这些被窃取的认证Cookie，从而能够访问EA内部的Slack账户。之后，他们利用社交工程手段进一步扩展了自己的权限。他们最终窃取了数百吉字节的源代码和游戏数据。.

所以，你不需要成为编程天才才能破解这个巨大的系统；你只需要实施“窃取饼干”的行为就行了。

Linus Tech Tips 的 YouTube 频道被接管了

在一场备受关注的事件中，YouTube上的大型频道“Linus Tech Tips”遭到了黑客攻击。该公司的员工收到了一封电子邮件，其中包含了一份伪装成普通文件的PDF文件。但实际上，那是一个包含恶意软件的屏幕保护程序文件，其目的是用来窃取用户的Cookie信息。

一旦执行完毕，该恶意软件就会从用户的浏览器中抓取所有的Cookie和密码数据。它专门针对与谷歌服务相关的用户的Cookie进行了攻击。

报告和事件后的分析表明，攻击者利用恶意软件窃取用户会话中的Cookie信息。之后，他们再次使用这些Cookie来访问YouTube和Google的账户，从而实施加密诈骗行为。即便采用了多因素认证，一些技术能力较强的组织仍然容易遭受Cookie被盗取的问题。

谷歌与“传递饼干”恶意软件的斗争

谷歌的威胁分析小组记录了那些针对创作者的“Cookie窃取”行为。这些行为是通过虚假的合作邀约以及恶意软件的下载来实施的。当受害者运行这些虚假软件后，恶意软件会窃取用户的Cookie信息，并将这些信息上传到攻击者控制的服务器上。被劫持的账户则常被用于实施加密货币诈骗活动。

在2025年，谷歌指出， Cookie 和认证令牌的盗窃行为呈上升趋势。因此，该公司引入了诸如“设备绑定会话凭证”这样的安全措施，以阻止被盗的 Cookie 被其他设备再次使用。

如何检测Cookie被盗用的情况？

检测Cookie被盗用的情况相当困难。与暴力破解攻击不同，不存在因登录失败而触发警报的情况。服务器会认为该操作是合法的，因为它看到了有效的密钥。不过，警惕的管理员和用户能够发现一些异常现象，从而判断出可能存在Cookie被盗用的情况。

同时出现的警告以及多个会话

大多数合法用户不会同时从三个不同的国家登录系统。如果某个用户已经在纽约登录了系统，而五分钟后，又有一个来自俄罗斯的IP地址的会话变得活跃起来，那么这就属于一个警示信号。这强烈表明可能存在 cookies 被窃取的情况。

安全系统可以设置成，当在地理位置相距甚远的地方使用Cookie数据时，会发出“无法移动”的提示。如果同一个账户的会话记录显示来自遥远地区的活动，且这种时间上的不匹配现象令人难以置信，那么就应该将其视为潜在的攻击信号，并强制用户重新认证。

未被识别的浏览器或设备指纹信息

设备信号的突然变化（如用户代理、操作系统、浏览器配置文件、设备ID，以及设备的管理状态）可能表明有人从其他机器重新使用了该令牌。

即使攻击者成功窃取了用户的信息，他们也可能无法完全复制用户的“User-Agent”信息。所谓“User-Agent”，其实就是用来识别浏览器和操作系统的一系列文本信息。如果之前与 Windows 10 Chrome 浏览器相关联的会话Cookie，现在在 Linux 上的 Firefox 浏览器中仍然处于活动状态，那么这表明该Cookie已经被移动了。

在单个活跃会话期间，检测客户端指纹的变化，是识别未经授权访问行为的一个有力指标。这种未经授权的访问方式通常是通过窃取 cookies来实现的。

关键账户设置的突然变化

当攻击者通过窃取Cookie获得未经授权的访问权限后，他们通常会试图确保自己的访问权限能够持续下去。因为他们知道，被窃取的Cookie最终会过期。因此，他们就会继续尝试维持这种访问权限。他们可能会很快地添加一个新的恢复邮箱、电话号码、密码或OAuth应用程序。

那些看似意外的邮件，上面写着“您的安全设置已发生变化”，通常就是用户所收到的唯一警告。这表明，用户的会话信息已经被通过窃取Cookie的方式获取了。

奇怪的活动记录

在用户方面，如果看到与记忆不符的活动记录，那就有问题了。如果用户查看自己的“最近账户活动记录”，发现有些文件下载是在他们睡觉的时候发生的，那么Cookie被盗就是最可能的原因。也就是说，该会话是在用户没有注意的情况下进行的。

请检查那些用户并未执行的下载操作、导出操作、权限更改、邮箱规则设置、支付相关操作，以及API密钥的创建等事宜。

如何防止 Cookie 被窃取？

防止 Cookie 被窃取需要一套全面的防御策略。我们必须承认，用户可能会点击那些不应该被点击的链接或内容。同时，也要考虑到可能存在一些恶意软件试图渗透进来的情况。因此，我们的目标是让偷取Cookie的行为变得毫无用处，或者让获取这些Cookie变得极其困难。

实施更短的会话时长，并坚决吊销相关令牌。

限制cookie被盗造成的损害的最有效方法是缩短其有效时间。如果某个会话cookie的有效期为30天，那么攻击者就有一个月的时间来利用它。而如果该cookie在15分钟内没有被使用，那么被窃取的数据很快就会变得毫无价值。

对于关键的网络应用程序来说，管理员必须实施严格的会话持续时间控制。虽然这可能会让用户感到不适，但这样做可以大大降低因 Cookie 被盗而导致长期访问的风险。较短的空闲超时时间、有限的会话有效期以及服务器端撤销功能，都能有效减少被盗 Cookie 带来的危害。在发生敏感操作之后，应重新生成会话标识符。

2. 正确设置Cookie保护功能。

这是开发者们防止Cookie被窃取的重要步骤。当Web应用程序创建Cookie时，他们可以对其进行标记或处理。

“HttpOnly”标志可以防止客户端脚本访问该cookie。这意味着，即使攻击者试图发起XSS攻击，他们的脚本也无法读取会话令牌。

“Secure”标志确保Cookie仅通过加密的连接进行传输。虽然这种方法无法完全阻止设备上的恶意软件，但它有助于防止中间人攻击，比如通过XSS漏洞来窃取Cookie等常见攻击行为。

3. 在可能的情况下，将会话绑定到相应的设备上。

先进的安全架构正在朝着将会话Cookie与特定硬件相绑定这一目标发展。如果某个Cookie是分配给IP地址A的，而此时IP地址B试图使用该Cookie，那么服务器应该拒绝该请求。这有助于防止会话劫持行为的发生。

虽然这可能会给那些切换网络的用户带来问题，但这是一种防止通过窃取Cookie来实施远程身份盗窃的措施。它确保了Cookie数据无法被其他设备所使用。谷歌和Chromium已经采用了这种策略，即“设备绑定会话凭证”（DBSC）技术，该技术的设计就是为了减少Cookie被盗取带来的风险。

4. 检测终端设备上存在的信息窃取行为。

许多 Cookie 被盗的情况，都是由于设备上的恶意软件导致的。这些恶意软件通常通过钓鱼邮件、虚假的软件更新，或者“破解”的应用程序来传播。恶意软件会从用户的本地存储中窃取 Cookies。普通的杀毒软件往往不足以应对这种情况。终端检测和响应工具则能够监控设备的行为，从而及时发现并解决这些问题。如果某个进程试图访问浏览器中的受保护存储区域，该区域用于存储登录凭据和Cookie信息，那么EDR可以终止这个进程。这样就能确保那些敏感数据永远无法从机器上被移除。

5. 应将公共Wi-Fi视为不可信赖的网络。

为了防止导致Cookie被盗的中间人攻击，用户应始终使用VPN。虽然VPN无法阻止设备上的恶意软件，也无法解决钓鱼攻击或BitM攻击的问题，但它至少可以降低本地网络被窥探的风险。

公共Wi-Fi网络是攻击者进行数据包嗅探的绝佳目标。而VPN则可以加密整个传输过程，从而降低在不可信的Wi-Fi网络上被窃听的风险。

6. 应告知用户双因素认证（2FA）的局限性。

用户往往会产生一种错误的安全感。他们认为，双因素认证能够让他们免受攻击。

他们需要明白，双因素认证能够阻止密码攻击，但并不能防止cookie被盗。培训内容应强调：下载可执行文件可以绕过身份验证程序。了解为什么在公共计算机上不允许保存用户的Cookie信息，对于防止Cookie被窃取来说非常重要。

7. 从共享设备中注销，并迅速响应各种警报。

听起来很简单，但实际上这种方法对防止 Cookie 被窃取非常有效。当用户主动点击“注销”按钮时，服务器会失效该会话令牌。如果攻击者在用户登出之前五分钟窃取了该Cookie，那么一旦用户登出后，该Cookie就会失效。鼓励“完成任务后立即关闭窗口”的习惯，可以消除潜在的漏洞。这是一种虽然需要手动操作，但却非常有效的防止Cookie被盗用的方法。

总的来说，盗取Cookie的行为正是针对那些让网络能够正常使用的机制——也就是所谓的“便利性”。攻击者意识到，窃取徽章比猜测密码要容易得多。在Web应用程序中，继续使用会话Cookie来保存状态信息的情况不会减少。同样，那些试图窃取Cookie的行为也不会减少。