The Cyber Compass

Your Guide to Digital Safety

Session Theft: Cookies and Tokens That Bypass Your Password

4–7 minutes

Written by

thecybercompass

in

Diagram illustrating session hijacking with a hacker stealing session cookies and JWT tokens from a victim user with unsecured connection

Cookies and tokens are small pieces of data that help websites remember you after you log in.

  • A cookie may keep you signed in to your email, bank, shopping account, or work system.
  • A token proves that you already authenticated, so the website does not ask for your password every time you click a new page.

Think of the session like a temporary digital wristband at an event. Once you have the wristband, staff do not ask for your ticket every time you move between rooms. A session cookie or session token is that wristband BUT If an attacker steals it, they may be able to place it into their own browser and appear as you. This is commonly called session hijacking, cookie theft, or pass-the-cookie. (OWASP Cheat Sheet Series)

A session theft is different. The attacker is not always trying to log in from the beginning. They may be trying to reuse proof that you already logged in. Microsoft has warned that attackers can compromise devices and steal authentication cookies linked to both personal and corporate accounts, especially from personal devices with weaker security controls. (Microsoft)

In simple sterms:

  1. You complete the login.
  2. You pass MFA.
  3. Your browser receives a valid session cookie.
  4. Malware steals that cookie.
  5. The attacker reuses it before it expires.

How do criminals steal session cookies?

One of the most common ways is through information-stealing malware, also called an infostealer. This malware is designed to quietly collect useful data from a device, including saved passwords, browser data, autofill details, credit card information, cryptocurrency wallets, and cookies.

In April 2025, ABC News reported that more than 31,000 passwords belonging to Australian customers of the Big Four banks were being shared online by cybercriminals. The report said the data was stolen from infected customer devices using infostealer malware, not from a vulnerability in the banks. It also noted that infostealers can capture browser data, including cookies, history, and autofill details. (ABC News)

What are the warning signs?

  • Login alerts from locations you do not recognise.
  • Your account shows active sessions on unknown devices.
  • Emails are marked as read when you did not read them.
  • Rules or forwarding settings appear in your mailbox.
  • You are suddenly logged out of accounts.
  • Your contacts receive strange messages from you.
  • Browsing speed slow, unstable, or shows suspicious extensions.

How to reduce the risk

  • keep MFA enabled.
  • Keep your operating system, browser, and antivirus protection updated.
  • Log out from sensitive accounts when using shared or public computers.
  • Clear browser data if you suspect compromise, run a security scan, remove suspicious software, update passwords from a clean device, and revoke active sessions.

Cybersecurity is not only about creating strong passwords. It is also about protecting the device, the browser, and the sessions that keep you logged in every day.

Robo de sesión: cookies y tokens que saltan tu contraseña

Las cookies y los tokens son pequeños datos que ayudan a los sitios web a recordarte después de iniciar sesión.

Una cookie puede mantener tu sesión abierta en tu correo electrónico, banco, cuenta de compras o sistema de trabajo.

Un token demuestra que ya te autenticaste, por lo que el sitio web no te pide la contraseña cada vez que haces clic en una nueva página.

Piensa en la sesión como una pulsera digital temporal en un evento. Una vez que tienes la pulsera, el personal no te pide la entrada cada vez que te mueves entre salas.

Una cookie de sesión o un token de sesión funcionan como esa pulsera. Pero si un atacante la roba, podría colocarla en su propio navegador y hacerse pasar por ti. Esto se conoce comúnmente como secuestro de sesión, robo de cookies o pass-the-cookie. OWASP explica que robar una cookie de sesión puede permitir secuestrar la sesión del usuario mientras esa sesión siga activa. (OWASP Cheat Sheet Series)

El robo de sesión es diferente. El atacante no siempre está intentando iniciar sesión desde cero. Puede estar intentando reutilizar la prueba de que tú ya iniciaste sesión. Microsoft ha advertido que los atacantes pueden comprometer dispositivos y robar cookies de autenticación asociadas tanto a cuentas personales como corporativas, especialmente desde dispositivos personales con controles de seguridad más débiles. (Microsoft)

En términos simples:

  1. Completas el inicio de sesión.
  2. Pasas la verificación MFA.
  3. Tu navegador recibe una cookie de sesión válida.
  4. Un malware roba esa cookie.
  5. El atacante la reutiliza antes de que expire.

¿Cómo roban los delincuentes las cookies de sesión?

Una de las formas más comunes es mediante malware diseñado para robar información, también conocido como infostealer. Este tipo de malware está creado para recopilar datos útiles de un dispositivo de forma silenciosa, incluyendo contraseñas guardadas, datos del navegador, información de autocompletado, datos de tarjetas de crédito, billeteras de criptomonedas y cookies.

En abril de 2025, ABC News informó que más de 31.000 contraseñas pertenecientes a clientes australianos de los cuatro grandes bancos estaban siendo compartidas en línea por ciberdelincuentes. Según el reporte, los datos fueron robados desde dispositivos de clientes infectados con malware tipo infostealer, y no por una vulnerabilidad en los bancos. El reporte también señaló que los infostealers pueden capturar datos del navegador, incluyendo cookies, historial y datos de autocompletado. (ABC News)

¿Cuáles son las señales de advertencia?

  • Alertas de inicio de sesión desde ubicaciones que no reconoces.
  • Tu cuenta muestra sesiones activas en dispositivos desconocidos.
  • Correos marcados como leídos cuando tú no los leíste.
  • Reglas o configuraciones de reenvío aparecen en tu buzón.
  • De repente, se cierran tus sesiones en algunas cuentas.
  • Tus contactos reciben mensajes extraños desde tu cuenta.
  • El navegador se vuelve lento, inestable o muestra extensiones sospechosas.

Cómo reducir el riesgo

  • Mantén el MFA activado.
  • Mantén actualizado tu sistema operativo, navegador y antivirus.
  • Cierra sesión en cuentas sensibles cuando uses computadores compartidos o públicos.
  • Si sospechas que tu cuenta o dispositivo fue comprometido, borra los datos del navegador, ejecuta un escaneo de seguridad, elimina software sospechoso, cambia tus contraseñas desde un dispositivo limpio y revoca las sesiones activas.

La ciberseguridad no se trata únicamente de crear contraseñas fuertes. También se trata de proteger el dispositivo, el navegador y las sesiones que te mantienen conectado todos los días.

References and sources

  • ABC News — Banking passwords stolen from Australians are being traded online by cybercriminals. (ABC News)
  • OWASP — Session Management Cheat Sheet. (OWASP Cheat Sheet Series)
  • Microsoft Security — Token tactics: cloud token theft. (Microsoft)

Leave a comment

More posts