Quem nunca acessou um site e, para tirar o pop-up da frente, clicou em 'aceitar cookies' sem nem pensar? Acontece que, nas mãos erradas, os cookies podem virar arma na mão de cibercriminosos. E, segundo o estudo da NordVPN publicado no final de maio, o Brasil é o país mais impactado pelo roubo de cookies – mais de 7 bilhões foram vazados na dark web, de um conjunto de 93,7 bilhões de cookies analisados.

De acordo com o levantamento, algumas listas de cookies foram marcadas como 'desconhecidas', somando mais de 9 bilhões de cookies, o que mostra que o impacto pode ter sido ainda maior. Atrás do Brasil, estão a Índia, Indonésia, Estados Unidos e Vietnã. Já entre as plataformas que mais coletam dados de cookies estão o Google, YouTube, Microsoft, Bing e MSN.

O objetivo dos cookies é oferecer uma navegação personalizada ao usuário, lembrando informações do mesmo para seu próximo acesso. No entanto, eles podem conter informações de login e possibilitam o roubo de sessões sem o uso de senhas, além de nomes de usuário, endereços de e-mail, país e cidade, gênero, data de nascimento e até mesmo endereços residenciais.

Com isso, os criminosos podem, entre várias práticas, fazer a venda desses dados; roubar mídias sociais; acessar dados financeiros; roubar a identidade do usuário ou utilizar as informações para realizar ataques de engenharia social – nos quais os 'engenheiros' levam as vítimas a agir com base em uma manipulação que gera estresse, desejo, ansiedade, entre outros sentimentos. Com isso, a vítima dá ao criminoso exatamente o que ele quer.

O especialista em cibersegurança da PierSec, Alex Vieira, afirma que é preciso cautela ao aceitar os cookies.

"Quando os cookies possuem informações mais detalhadas e são vendidos na dark web, por exemplo, podem colocar até mesmo a vida da pessoa em risco, principalmente caso contenham o endereço da pessoa. Por isso, é preciso tomar cuidado e não aceitar cookies indiscriminadamente, rejeite os desnecessários, especialmente cookies de terceiros, ou os que fazem o rastreio das atividades online do usuário", ressalta Alex.

A pesquisa exemplifica que há vários tipos de cookies:

- Cookies próprios ou first-party: armazenados pelo próprio site, esses cookies memorizam as credenciais de login e preferências de usuário – desta forma, ele não precisa digitar tudo novamente ao acessar o site. Ainda que considerados menos intrusivos que os demais, o armazenamento de dados pessoais pode ser uma mina de ouro para cibercriminosos.
- Cookies de terceiros: são cookies armazenados no dispositivo, mas por outro site. Provedores de analytics ou anunciantes podem utilizar as informações desses cookies para direcionar publicidade e fazer um rastreio do comportamento do usuário. Ou seja, é por conta deles que, ao pesquisar certo item em um site, o usuário começa a vê-lo por toda parte na internet.
- Super cookies: estes são muito mais difíceis de detectar e remover, já que se “escondem” em pontos mais ocultos de armazenamento e, por isso, podem reaparecer mesmo após a limpeza de cookies. E, por isso mesmo, podem oferecer um risco de segurança maior.
- Cookies zumbi: os que 'voltam dos mortos' mesmo depois de eliminados. Podem ser recriados automaticamente usando cópias de backup armazenadas fora do método normal de armazenamento de cookies, o que torna os cookies zumbi uma grande ameaça à privacidade do usuário.

Alex Vieira conta que o roubo de cookies é simples para o criminoso. "Como na maioria dos ciberataques, eles utilizam malwares, ou seja, softwares maliciosos, para obter informações confidenciais. Com eles, violam sistemas por meio de brechas na segurança, com programas ilegítimos, por exemplo. Isso nos dá uma dimensão do mundo de possibilidades que um criminoso pode ter acesso em um sistema frágil, e o roubo de cookies é um caminho precioso para eles", diz.

De fato, a pesquisa constatou que quase todos os cookies foram coletados por infostealers (softwares maliciosos que furtam informações), trojans (malwares disfarçados de softwares legítimos) e keyloggers (softwares que registram o pressionamento de teclas).

Como se prevenir

Alex reforça a importância de pensar duas vezes antes de aceitar os cookies, e dá outras dicas.

"É essencial ter um antivírus pago no computador. Os gratuitos fazem uma proteção muito básica, que por vezes não consegue capturar ameaças tão profundas. Além disso, utilizar VPN pode tornar a navegação mais segura. Já em um contexto corporativo, o ideal é ter uma solução de antivírus EDR (Endpoint Detection and Response), que proporciona uma análise mais detalhada e uma proteção mais eficiente", pontua.

E, é claro, fazer a limpeza regular dos cookies desnecessários após o login em qualquer computador ou dispositivo móvel. Desta forma, as chances de roubo de informações, ainda que não sejam zeradas, podem ser reduzidas.

Sobre Alex Vieira

Alex Vieira é especialista em Cibersegurança, fundador da PierSec e vice-presidente de Segurança Digital no Instituto Litoral Paulista de Inovação & Startups (ILIS) . Com 20 anos de experiência nos setores de tecnologia portuária e financeira, é graduado pela Universidade Paulista (UNIP) em Gestão de Tecnologia da Informação, possui especialização em Segurança da Informação e Proteção de Dados pela Universidade Anhembi Morumbi.

A PierSec é uma startup fundada em Santos que chega com o propósito de democratizar o acesso à cibersegurança, simplificando a inovação e promovendo um ecossistema corporativo mais seguro e protegido. O empreendimento é uma startup da ZPT Digital, empresa de tecnologia com 26 anos de experiência e atuação em todo o território nacional.