Zašto hakeri vole kolačiće – i šta možeš da uradiš da tvoji ne završe u njihovom džepu

Kada ti se sledeći put pojavi ono dosadno iskačuće obaveštenje — „Ovaj sajt koristi kolačiće“ — ne žuri da klikneš „Prihvati sve“. Možda bi trebalo da zastaneš na trenutak. Jer iza te male tekstualne datoteke, koja ti pamti jezik, korpu ili epizodu serije na kojoj si stao, krije se nešto što hakerima znači više od tvoje lozinke: tvoj identifikator sesije.

Da, kolačići su praktični. Čak su i neophodni za normalno funkcionisanje modernog interneta. Ali oni su, istovremeno, jedna od najpopularnijih meta za sajber napadače – jer, ako uspeju da ih ukradu, mogu da postanu ti. Bez lozinke. Bez 2FA. Bez ikakvog upozorenja.

“Kolačići” nisu slatki – ali su moćni

Svaki put kada se prijaviš na sajt — bilo da je to Gmail, Facebook, Amazon ili tvoja banka — server ti dodeljuje identifikator sesije. Taj ID se čuva u kolačiću na tvom uređaju, i svaki put kada osvežiš stranicu, taj kolačić se šalje nazad serveru kao dokaz da si „još uvek ti“. To je kao da nosiš magnetnu karticu koja otvara vrata tvoje kancelarije. Dok je imaš — možeš da prolaziš. Ako je neko ukrade — može da prolazi umesto tebe.

Upravo tako su 2023. godine hakeri preuzeli sve tri YouTube kanala Linusa Sebastiana — Linus Tech Tips, TechQuickie i TechLinked — koji zajedno imaju desetine miliona pretplatnika. Nisu pogodili lozinku. Nisu provalili 2FA. Ukradeli su kolačić sa identifikatorom sesije — i postali „Linus“ u očima sistema.

Kako hakeri krade kolačiće? (I to nije scena iz filma – već iz stvarnog života)

Postoje različite tehnike, ali evo najčešćih — i najopasnijih:

1. Presretanje saobraćaja (Session Hijacking)

Ako koristiš sajt koji još uvek radi preko HTTP (a ne HTTPS), tvoji kolačići putuju kroz internet kao otvorena pošta — bez šifrovanja. Na javnom Wi-Fi-u, haker može da „sluša“ taj saobraćaj i da uhvati tvoj identifikator sesije. Rešenje? Nikad ne unosiš osetljive podatke na sajtovima koji ne koriste HTTPS (zaključan simbol u adresnoj traci).

2. Cross-Site Scripting (XSS)

Ovde haker iskoristi ranjivost u kodu sajta da ubaci zlonamernu skriptu. Kad ti posetiš tu stranicu — čak i ako je izgleda potpuno normalna — skripta učita tvoje kolačiće i pošalje ih napadaču. Bez tvog znanja. Bez upozorenja. Samo jedan klik — i tvoja sesija više nije tvoja.

3. Cross-Site Request Forgery (CSRF)

Ovaj napad koristi tvoj odnos poverenja sa sajtom. Recimo da si prijavljen na Twitter. Haker te navede da klikneš na zlonamerni link — recimo, u emailu ili poruci. Taj link automatski šalje zahtev Twitteru u tvome ime — recimo, da promeni lozinku, pošalje tweet ili obriše nalog. A kako si već prijavljen, Twitter prihvata zahtev kao legitimnog. Bez dodatne provere.

4. Predvidljivi identifikatori

Neki sajtovi generišu identifikatore sesije na način koji se može „pogoditi“ — na osnovu IP adrese, vremena, ili nekog jednostavnog algoritma. Ako haker prikupi dovoljno primera, može da „nagradi“ sledeći ID — i da se prijavi umesto tebe.

Nisu svi kolačići isti — a neki su opasniji od drugih

Kolačići se mogu klasifikovati na više načina — po trajanju, izvoru, funkciji, čak i tehnologiji skladištenja.

• Privremeni (sesijski) kolačići nestaju kad zatvoriš pregledač — koriste se za održavanje prijave dok se krećeš po sajtu.
• Trajni kolačići ostaju mesecima — čuvaju tvoje podešavanja, prijave, „zapamti me“ opcije.
• Kolačići prve strane dolaze od samog sajta — uglavnom su neophodni za funkcionalnost.
• Kolačići treće strane dolaze od reklamnih mreža, analitičkih servisa, društvenih dugmadi — i često služe za praćenje i profilisanje.
• Super-kolačići i ever-cookies? To su „nepropusni“ kolačići koji se ne brišu čak ni kad očistiš keš — i mogu da te prate godinama.

Većina napada se fokusira na sesijske kolačiće prve strane — jer sadrže identifikator koji daje pristup tvom nalogu. A to je vrednije od same lozinke.

Kako da zaštitiš svoje kolačiće (i sebe) – 7 stvari koje stvarno rade

1. Koristi SAMO HTTPS sajtove — nikad ne unosi lozinke, brojeve kartica ili lične podatke na sajtovima koji koriste HTTP. Ako nema „zaključan“ simbol — idi dalje.
2. Brisi kolačiće redovno — ili podesi pregledač da ih automatski briše pri zatvaranju. Ovo sprečava da stari, možda procureli kolačići ostanu aktivni.
3. Nikad ne klikćeš na sumnjive linkove — naročito u porukama od nepoznatih osoba. Čak i ako izgledaju „normalno“. Instaliraj alat kao što je Kaspersky Premium — on će te upozoriti pre nego što stigneš do zlonamerne stranice.
4. Uključi dvofaktorsku autentifikaciju (2FA) — i koristi menadžer lozinki poput Kaspersky Password Manager da čuvaš 2FA tokene. Čak i ako haker ukrade tvoj kolačić, bez 2FA koda — ne može da održi pristup.
5. Ne prihvataj „sve kolačiće“ automatski — većina sajtova danas nudi opciju „Samo neophodni“. Koristi je. Treći kolačići uglavnom služe za praćenje — ne za funkcionalnost.
6. Izbegavaj javne Wi-Fi mreže za prijavu — ako moraš, koristi mobilne podatke ili VPN. Javni hotspotovi su raj za hakerе — naročito ako nisu zaštićeni WPA2/WPA3 protokolima.
7. Ažuriraj pregledač i sistem — mnogi napadi iskorišćavaju stare ranjivosti. Automatska ažuriranja su tvoj najjeftiniji i najefikasniji štit.

Tvoji kolačići nisu tvoji — ako ih ne čuvaš

Kolačići nisu zli po prirodi. Oni su deo moderne digitalne infrastrukture — bez njih, internet bi bio spor, neprijatan i frustrirajuće nepersonalizovan. Ali baš zato što su toliko korisni, postali su i toliko vredni — za tebe, ali i za one koji žele da postanu ti.

Ne moraš da postaneš paranoičan. Samo svestan. Jer kad znaš kako funkcionišu — i gde su ranjivi — možeš da ih koristiš bez straha. A ne da ih ostaviš hakerima na poslužavniku.

👉 Za detaljniji tehnički pregled napada na kolačiće i kako ih zaštititi, pogledaj kompletan izveštaj na Securelist blogu Kaspersky-ja .