Запровадження обмеження на кількість невдалих спроб входу може допомогти захиститися від хакерів, що використовують методи підбору паролів. Однак, зараз зловмисники все частіше вдаються до так званих атак розпиленням пароля, аби обійти ці заходи безпеки.
На відміну від традиційних атак підбору паролів, атака розпиленням пароля є відносно нескладною у виконанні та має низький рівень виявлення.
Що ж таке атака розпиленням пароля, як вона функціонує, які методи профілактики та як реагувати на таку атаку? Давайте розберемося.
Що собою являє атака розпиленням пароля?
Атака розпиленням пароля – це вид кібератаки, під час якої зловмисники використовують поширені паролі для доступу до багатьох облікових записів в організації. Вони сподіваються, що хоча б один з цих паролів спрацює, надавши їм доступ до потрібного облікового запису.
Хакер намагається застосувати один, добре відомий пароль до багатьох облікових записів в компанії. Якщо спроба входу виявиться невдалою, вони змінюють пароль та повторюють спроби через певний проміжок часу.
Цей процес повторюється до моменту, поки хакер не отримає доступ до корпоративного облікового запису. Оскільки вони не використовують багато паролів для одного облікового запису за короткий проміжок часу, система блокування облікових записів не спрацьовує.
Проникнувши в корпоративну мережу, хакер може розпочати дії, спрямовані на досягнення своїх злочинних цілей.
Сьогодні користувачі мають багато облікових записів. Створення надійного пароля для кожного облікового запису є досить складною задачею, не кажучи вже про їх запам’ятовування.
З цієї причини більшість користувачів створюють прості паролі, що полегшує процес. Такі паролі є загальновідомими і їх легко знайти. Достатньо пошуку в Google, щоб отримати список найбільш поширених паролів. Це, в свою чергу, сприяло розповсюдженню атак розпиленням пароля.
Постачальник цифрових робочих місць та корпоративних мереж Citrix повідомив, що зловмисники отримали доступ до їх внутрішньої мережі, використовуючи атаку розпиленням пароля в період між 13 жовтня 2018 року та 8 березня 2019 року.
Корпорація Microsoft також підтвердила випадки розпилення пароля проти понад 250 клієнтів Office 365.
Як працює атака розпиленням пароля?
Джерело зображення: Wallarm
Нижче наведено три основні етапи атаки розпиленням пароля.
#1. Збір списку імен користувачів
Першим кроком для проведення атаки розпиленням пароля є збір переліку імен користувачів організації.
Зазвичай, компанії використовують стандартизовані угоди щодо іменування користувачів. Адреси електронної пошти є іменами користувачів за замовчуванням для пов’язаних облікових записів. Здогадатись про електронні адреси користувачів нескладно, оскільки найчастіше використовується формат [email protected].
Крім того, зловмисники можуть дізнатися про електронні адреси користувачів, відвідавши веб-сайт компанії, профілі співробітників в LinkedIn чи інші доступні в Інтернеті.
Також, вони можуть купити готовий список імен користувачів у Darknet.
#2. Розпилення паролів
Після отримання списку імен користувачів, хакери починають пошук “списку найпоширеніших паролів”. Пошук в Google або Bing дозволяє швидко отримати список популярних паролів за певний рік. Щоб збільшити шанси на успіх, хакери налаштовують список часто використовуваних паролів, враховуючи географічне розташування користувачів.
Наприклад, вони можуть враховувати популярні спортивні команди, культурні заходи, музику тощо. Якщо організація розташована, скажімо, поблизу Чикаго, хакери можуть поєднати “Chicago Bears” із поширеними паролями.
Використавши один пароль для багатьох облікових записів, вони чекають 30-50 хвилин, перед початком наступної атаки, щоб запобігти блокуванню облікових записів.
Зловмисники можуть використовувати різні автоматизовані інструменти для автоматизації процесу розпилення.
#3. Отримання доступу до облікових записів
У випадку успіху атаки, зловмисник отримує доступ до облікових записів користувачів. Виходячи із рівня привілеїв цих скомпрометованих облікових записів, вони можуть виконувати різноманітні злочинні дії, такі як встановлення шкідливого програмного забезпечення, викрадення конфіденційних даних, здійснення шахрайських покупок і т.д.
Якщо хакер проникне всередину корпоративної мережі, він може просуватись глибше, використовуючи методи бокового руху, аби знайти цінні ресурси та збільшити свої привілеї.
Розпилення пароля проти підстановки облікових даних проти атаки грубою силою
Джерело зображення: Cloudflare
Під час атак підстановкою облікових даних, зловмисники використовують викрадені облікові дані з однієї організації, для отримання доступу до облікових записів користувачів на різних платформах.
Зловмисники користуються тим, що більшість людей використовують однакові логіни та паролі для доступу до своїх облікових записів на різних сайтах. Зі збільшенням випадків витоку даних, хакери мають більше можливостей для проведення атак підстановкою облікових даних.
Атака грубою силою застосовує метод проб і помилок для злому паролів та облікових даних. Кіберзлочинці намагаються вгадати паролі шляхом перебору різноманітних комбінацій. Для пришвидшення процесу використовуються спеціальні інструменти.
Заходи безпеки, що обмежують кількість спроб входу, можуть запобігти атакам грубою силою, оскільки облікові записи будуть заблоковані, якщо система виявить надмірну кількість невдалих спроб входу за короткий час.
Під час атак розпиленням пароля хакери намагаються використати один поширений пароль для декількох облікових записів в організації. Так як хакери не намагаються ввести різні паролі для одного облікового запису за короткий проміжок часу, атаки розпиленням пароля можуть обійти заходи блокування спроб входу.
Який вплив атаки розпиленням пароля на вашу компанію?
Ось як успішна атака розпиленням пароля може вплинути на вашу компанію:
- Отримавши несанкціонований доступ до облікових записів, зловмисники можуть отримати конфіденційну інформацію, фінансові звіти, дані клієнтів та комерційну таємницю.
- Зловмисники можуть використовувати скомпрометовані облікові записи для проведення шахрайських операцій, несанкціонованих покупок, а навіть викрадення коштів з рахунків компанії.
- Отримавши доступ до облікових записів, хакери можуть зашифрувати важливі дані та вимагати викуп за їх розшифрування.
- Атака розпиленням пароля може призвести до витоку даних, що спричинить фінансові втрати та завдасть шкоди репутації компанії. Інціденти порушення безпеки даних можуть призвести до втрати довіри клієнтів, що спонукає їх звернутись до ваших конкурентів.
- Компанії необхідно буде виділити ресурси для реагування на витік даних, отримання юридичної консультації та найму сторонніх експертів з кібербезпеки. Отже, атака розпиленням пароля може спричинити значні витрати.
Загалом, успішна атака розпиленням пароля матиме наслідки для різних аспектів вашого бізнесу. Це може включати фінансові, операційні, юридичні та репутаційні наслідки.
Як виявити атаки розпиленням пароля?
Ось основні ознаки атаки розпиленням пароля:
- Значний обсяг спроб входу за короткий проміжок часу.
- Велика кількість невдалих спроб входу для декількох облікових записів за короткий проміжок часу.
- Спроби входу від неактивних або неіснуючих користувачів.
- Спроби входу з IP-адрес, географічно не співпадають з відомим розташуванням користувачів.
- Спроби доступу до кількох облікових записів у неробочий час. При цьому, один і той самий пароль використовується для входу в усі ці облікові записи одночасно.
Для виявлення атак розпиленням пароля, необхідно переглянути журнали автентифікації на наявність помилок входу, що походять від легітимних облікових записів.
У випадку, якщо ви підозрюєте атаку розпиленням пароля, потрібно виконати наступні кроки:
- Накажіть своїм співробітникам негайно змінити усі паролі та ввімкнути багатофакторну аутентифікацію, якщо хтось цього ще не зробив.
- Розгорніть інструмент виявлення та реагування на кінцеві точки (EDR), щоб відстежувати будь-яку шкідливу активність у кінцевих точках вашої компанії, щоб запобігти подальшому проникненню хакерів в разі успішної атаки розпиленням пароля.
- Перевірте наявність ознак викрадення або шифрування даних. Розробіть план відновлення даних з резервної копії, переконавшись, що усі облікові записи захищено. Розгорніть рішення для захисту даних, щоб убезпечити їх.
- Збільшіть чутливість ваших продуктів безпеки для виявлення невдалих спроб входу в декілька систем.
- Перегляньте журнали подій, аби зрозуміти що сталося, коли це сталося та як це сталося, щоб покращити ваш план реагування на інциденти.
Зловмисники використовують вразливості програмного забезпечення, щоб підвищити свої привілеї. Тому, переконайтеся, що ваші співробітники встановлюють всі оновлення програмного забезпечення та виправлення.
Як запобігти атакам розпиленням пароля?
Нижче наведено декілька стратегій, що допоможуть запобігти доступу хакерів до облікових записів користувачів, за допомогою атак розпиленням пароля.
#1. Дотримуйтесь політики надійних паролів
Атаки розпиленням пароля спрямовані на слабкі паролі, які легко вгадати. Впровадження політики надійних паролів змусить ваших співробітників створювати складні паролі, які хакери не зможуть вгадати або знайти в Інтернеті. Як наслідок, облікові записи користувачів будуть захищені від атак розпиленням пароля.
Ось основні моменти, які має включати політика паролів:
- Довжина паролів має складати не менше 12 символів, включаючи великі та малі літери, а також спеціальні символи.
- Необхідно створити список заборонених паролів, тобто користувачі не повинні включати у паролі свої дати народження, місця народження, посади або імена близьких.
- Термін дії всіх паролів повинен закінчуватися через певний проміжок часу.
- Користувачі повинні створити різні паролі для різних облікових записів.
- У випадку кількох невдалих спроб входу, має бути встановлене блокування облікових записів користувачів.
Впровадження ефективного інструменту управління паролями може допомогти користувачам створювати надійні паролі та уникати використання найпоширеніших паролів.
Рейтингові менеджери паролів можуть допомогти визначити, чи розкриті ваші паролі внаслідок витоку даних.
#2. Застосування багатофакторної автентифікації (MFA)
Багатофакторна аутентифікація (MFA) додає обліковим записам додатковий рівень безпеки. У разі увімкнення, MFA вимагає від користувачів надання одного або декількох факторів підтвердження, крім імені користувача та пароля, для отримання доступу до онлайн облікових записів.
Впроваджуючи багатофакторну аутентифікацію у вашій компанії, ви можете захистити онлайн-акаунти від атак грубою силою, словникових атак, атак розпиленням пароля та інших типів атак, пов’язаних з паролями. Це пов’язано з тим, що зловмисники не матимуть доступу до додаткових факторів підтвердження, що надсилаються через SMS, електронну пошту або програми для аутентифікації паролів.
Крім цього, MFA здатна захистити онлайн акаунти від атак кейлогерів.
#3. Впровадження аутентифікації без пароля
Аутентифікація без пароля використовує біометричні дані, магічні посилання, токени безпеки тощо для ідентифікації користувачів. Оскільки для доступу до облікових записів паролі не використовуються, хакери не зможуть здійснювати атаки розпиленням пароля.
Отже, аутентифікація без пароля є надійним способом запобігання більшості атак, пов’язаних з паролями. Ви можете ознайомитися з цими рішеннями аутентифікації без пароля для захисту облікових записів у вашій компанії.
#4. Перевірка готовності шляхом симуляції атак
Необхідно перевірити готовність ваших співробітників до боротьби з атаками розпиленням пароля шляхом моделювання цих атак. Це допоможе вам краще зрозуміти систему безпеки паролів та вжити необхідних заходів для її посилення.
#5. Наявність інструменту виявлення входу
Налаштуйте інструмент моніторингу в реальному часі для виявлення підозрілих спроб входу. Правильний інструмент може допомогти виявити спроби входу в декілька облікових записів з одного хосту протягом короткого проміжку часу, спроби входу в декілька неактивних облікових записів, численні спроби входу в неробочий час, тощо.
Виявивши підозрілу активність, ви можете вжити заходів для блокування несанкціонованого доступу до ваших облікових записів. Такі дії можуть включати блокування скомпрометованих облікових записів, зміну налаштувань Fireball, ввімкнення багатофакторної аутентифікації тощо.
#6. Навчання співробітників
Ваші співробітники відіграють важливу роль у захисті облікових записів користувачів від атак розпиленням пароля. Усі технічні засоби контролю безпеки, незалежно від їх якості, не працюватимуть, якщо ваші співробітники не створюватимуть надійних паролів та не ввімкнуть багатофакторну аутентифікацію для своїх облікових записів.
Тому, регулярно організовуйте програми підвищення обізнаності з кібербезпеки, щоб навчити ваших співробітників про різні типи атак на пароль та про те, як їм запобігти. Переконайтеся, що вони знають, як створити досить складний пароль.
Висновок
Атака розпиленням пароля може завдати значної шкоди вашій компанії, включаючи компрометацію облікових записів, витік даних та майбутні атаки в сфері кібербезпеки. Тому, необхідно посилити захист паролів у вашій компанії.
Застосування суворої політики паролів, впровадження MFA, використання аутентифікації без пароля, інструменту для виявлення входу та навчання ваших співробітників можуть допомогти вам запобігти атакам розпиленням пароля.
Крім того, слід бути креативними у виборі структури імен користувачів вашої компанії. Варто відмовитись від стандартних варіантів на кшталт [email protected].
Щоб підвищити безпеку облікових записів у вашій компанії, ви можете дослідити можливості застосування платформ, що використовують магічні посилання для аутентифікації без пароля.