Някои от най-разпространените и най-ефективни методи за кражба на пароли
В продължение на много години паролите се считаха за приемлива форма на защита на личните данни в цифровия свят. Въпреки това, когато криптографията и биометричните данни започнаха да стават все по-широко достъпни, недостатъците на този прост метод за удостоверяване станаха по-забележими.
Струва си да се вземе предвид ролята на изтеклата парола в една от най-големите истории за киберсигурност през последните две години – хакването на SolarWinds. Беше разкрито, че „solarwinds123“, парола, създадена и изтекла от стажант, е била публично достъпна чрез частно хранилище в GitHub от юни 2018г., което е позволило на хакерите да планират и извършат мащабната атака по веригата за доставки.
Въпреки това, дори и паролата да не беше изтекла, за нападателите нямаше да е трудно да я отгатнат. По думите на американския политик Кейти Портър повечето родители използват по-силна парола, за да попречат на децата си „да гледат твърде много YouTube на своя iPad“.
Паролите, които са слаби или лесни за отгатване, се срещат по-често, отколкото очаквате: според неотдавнашни данни на NCSC всеки шести човек използва имената на домашните си любимци като пароли, което ги прави лесно предвидими. Още по-лошо е, че тези пароли се използват многократно в различни сайтове, като всеки трети (32 %) използва една и съща парола за достъп до различни акаунти.
Не е изненада, че паролите са най-големият кошмар за експертите по киберсигурност. За да се справим с този проблем, има стъпки, които си струва да предприемем, като например прилагането на надеждно многопластово удостоверяване. Заслужава си също така да се намалят рисковете, за да се разгледат стъпките, които киберпрестъпниците трябва да предприемат, за да хакнат профила ви, и да се „опознае врагът“. Събрахме 12-те най-добри техники за разбиване на пароли, използвани от нападателите, за да дадем възможност на вас и вашия бизнес да бъдете по-добре подготвени.
Фишингът е сред най-разпространените техники за кражба на пароли, които се използват в момента, и често се използва за други видове кибератаки. Вкоренен в тактиката на социалното инженерство, успехът му се дължи на способността да се заблуди жертвата с привидно легитимна информация, докато се действа с лоши намерения.
Предприятията са много добре запознати с широко разпространените опити за фишинг върху техните служители и често провеждат упражнения за обучение по фишинг върху тях, както с изрично предупреждение, така и върху неволни лица. Обикновено фишингът се извършва чрез електронна поща, но може да бъде постигнат успех и с други форми на комуникация, например чрез SMS съобщения, известни като „smishing“.
Обикновено фишингът включва изпращане на електронно писмо до получателя, като в него се включват възможно най-много елементи, за да изглежда то легитимно, т.е. фирмени подписи, правилен правопис и граматика, а по-сложните атаки напоследък се прикрепят към съществуващи имейл потоци, като фишингът идва по-късно във веригата на атаката.
Оттам нататък нападателите ще се опитат да подтикнат потребителя да изтегли и отвори злонамерен документ или друг вид файл – обикновено зловреден софтуер – за да постигне каквото иска нападателят. Това може да бъде кражба на пароли, заразяване с ransomware или дори скрито пребиваване в средата на жертвата, за да действа като задна врата за бъдещи атаки, извършвани от разстояние.
Компютърната грамотност се е повишила през годините и много потребители са добре обучени как да разпознават фишинг имейли. Предупредителните знаци вече са широко известни и хората знаят кога и как да докладват за подозрителен имейл на работното място. Само най-добрите кампании са наистина убедителни, като например гореспоменатите кампании за отвличане на електронна поща.
Дните на имейли от предполагаеми принцове в Нигерия, които търсят наследник, или от фирми, действащи от името на богати починали роднини, вече са рядкост, въпреки че все още може да се открие странно, изключително екстравагантно искане тук и там.
Нашата любима тема напоследък е случаят с първия нигерийски астронавт, който за съжаление се е изгубил в космоса и се нуждае от нас като посредник за прехвърляне на 3 милиона долара към Руската космическа агенция – която очевидно извършва полети за връщане.
Когато говорим за социално инженерство, то обикновено се отнася до процеса на подвеждане на потребителите да повярват, че хакерът е легитимен агент. Често срещана тактика е хакерите да се обаждат на жертвата и да се представят за техническа поддръжка, като искат например пароли за достъп до мрежата, за да окажат помощ. Това може да бъде също толкова ефективно, ако се направи лично, като се използват фалшива униформа и пълномощия, въпреки че в наши дни това се среща много по-рядко.
Успешните атаки със социален инженеринг могат да бъдат изключително убедителни и доходоносни, какъвто беше случаят, когато главният изпълнителен директор на британска енергийна компания загуби 201 000 паунда от хакери, след като те го измамиха с инструмент с изкуствен интелект, който имитираше гласа на асистента му.
Програмите за записване на клавиши, за скрепери на екрани и множество други злонамерени инструменти попадат в обхвата на зловредния софтуер – злонамерен софтуер, предназначен за кражба на лични данни. Наред със силно разрушителния зловреден софтуер като ransomware, който се опитва да блокира достъпа до цялата система, има и тясно специализирани семейства зловреден софтуер, които са насочени специално към паролите.
Кийлогърите и подобните им програми записват дейността на потребителя, независимо дали става въпрос за натискане на клавиши или за снимки на екрана, които след това се предоставят на хакера. Някои зловредни програми дори проактивно търсят в системата на потребителя речници с пароли или данни, свързани с уеб браузъри.
Атаките с груба сила включват хакери, които използват различни методи, обикновено на принципа на пробата и грешката, за да открият пътя към акаунта на даден потребител. Така например нападателите могат просто да се опитат да използват често използвани пароли като „password123“ срещу известно потребителско име.
Атаката с груба сила може да се изразява и в това, че нападателят прави обосновани предположения. Например потребителското име може вече да е известно и нападателят може дори да познава жертвата лично, така че предположения, свързани с известни рождени дати, любими спортни отбори и имена на членове на семейството, могат да предоставят улики за правилната парола, като например LiverpoolFC97.
Те донякъде приличат на речниковите атаки, но често им липсват свързаните с тях сложност, автоматизация и изчислителна сложност.
Речниковите атаки са подобни на методите с груба сила, но включват хакери, които изпълняват автоматизирани скриптове, които вземат списъци с известни потребителски имена и пароли и ги изпълняват последователно срещу системата за вход, за да получат достъп до дадена услуга. Това означава, че всяко потребителско име трябва да бъде проверено спрямо всяка възможна парола, преди следващото потребителско име да бъде изпробвано спрямо всяка възможна парола.
Методът е труден и в резултат на това често отнема доста време. При най-силните стандарти за криптиране на пароли времето за провеждане на речникова атака често се увеличава до непосилно ниво.
Съществуват опасения, че появата на квантовите компютри може да направи паролите безполезни предвид изчислителната мощ, която притежават, а дори и оборудването от потребителски клас също застрашава паролата. Например, доказано е, че на графичният процесор RTX 4090 на Nvidia отнема по-малко от час за разбиване на всяка отделна осемсимволна парола, когато работят осем от тях в тандем. Това са около 200 милиарда различни възможности, включително различни главни букви, символи и цифри, поставени в различен ред в паролата.
Докато при речниковите атаки се използват списъци с всички възможни комбинации от фрази и думи, при атаките с маски обхватът е много по-конкретен, като често се прецизират предположенията въз основа на символи или числа – обикновено основани на съществуващи знания.
Например, ако хакерът е наясно, че дадена парола започва с число, той ще може да приспособи маската, за да изпробва само тези видове пароли. Дължината на паролата, подредбата на символите, дали са включени специални символи или колко пъти се повтаря един символ са само някои от критериите, които могат да се използват за конфигуриране на маската.
Целта е да се намали драстично времето, необходимо за разбиване на парола, и да се премахне всякаква ненужна обработка.
Когато дадена парола се съхранява в система, тя обикновено се криптира с помощта на „хеш“ или криптографски псевдоним, което прави невъзможно определянето на оригиналната парола без съответния хеш. За да заобиколят това, хакерите поддържат и споделят директории, в които се записват пароли и съответните им хешове, често създадени на базата на предишни хакове, като по този начин се намалява времето, необходимо за проникване в системата (използва се при атаки с груба сила).
Таблиците отиват една стъпка по-далеч, тъй като вместо просто да предоставят парола и нейния хеш, те съхраняват предварително съставен списък на всички възможни текстови версии на криптираните пароли въз основа на хеш алгоритъм. След това хакерите могат да сравнят тези списъци с всички криптирани пароли, които открият в системата на компанията.
Голяма част от изчисленията се извършват преди осъществяването на атаката, което я прави много по-лесна и бърза в сравнение с други методи. Недостатъкът за киберпрестъпниците е, че огромният обем от възможни комбинации означава, че дъговите таблици могат да бъдат огромни, често с размер от стотици гигабайти.
Мрежовите анализатори са инструменти, които позволяват на хакерите да наблюдават и прихващат пакети с данни, изпратени по мрежата, и да извличат съдържащите се в тях пароли в обикновен текст.
Подобна атака изисква използването на зловреден софтуер или физически достъп до мрежов превключвател, но може да се окаже много ефективна. Тя не разчита на използването на системна уязвимост или мрежова грешка и като такава е приложима за повечето вътрешни мрежи. Често срещано е и използването на мрежови анализатори като част от първата фаза на атаката, последвана от атаки с груба сила.
Разбира се, предприятията могат да използват същите инструменти за сканиране на собствените си мрежи, което може да бъде особено полезно за провеждане на диагностика или за отстраняване на неизправности. С помощта на мрежов анализатор администраторите могат да открият каква информация се предава в обикновен текст и да въведат политики за предотвратяване на това.
Единственият начин да се предотврати тази атака е да се защити трафикът, като се маршрутизира през VPN или нещо подобно.
Това е процес, при който хакерите опознават отблизо своите цели, за да придобият удостоверения въз основа на тяхната дейност. Процесът е много сходен с техниките, използвани при фишинг и социално инженерство, но включва много повече работа от страна на хакера – въпреки че като цяло е по-успешен в резултат на това.
Начинът, по който хакерът може да използва паяжинообразуването, зависи от целта. Например, ако целта е голяма компания, хакерите могат да се опитат да се сдобият с вътрешна документация, като например наръчници за новопостъпили служители, за да добият представа за вида на платформите и сигурността, които използва целта. Именно в тях често се намират ръководства за достъп до определени услуги или бележки за използването на Wi-Fi в офиса.
Често се случва компаниите да използват пароли, които по някакъв начин са свързани с тяхната бизнес дейност или брандинг – най-вече защото така служителите по-лесно ги запомнят. Хакерите могат да се възползват от това, като изучават продуктите, които бизнесът създава, за да съставят списък с възможни комбинации от думи, които могат да се използват за атака с груба сила.
Както и при много други техники от този списък, процесът обикновено се подпомага от автоматизация.
Важно е да запомните, че не всички хакерски атаки се извършват чрез интернет връзка. Всъщност по-голямата част от работата се извършва офлайн, особено като се има предвид, че повечето системи поставят ограничения за броя на предположенията, които се допускат, преди акаунтът да бъде блокиран.
Офлайн хакерството обикновено включва процес на декриптиране на пароли чрез използване на списък с хешове, вероятно взети от скорошно нарушение на сигурността на данните. Без заплаха от откриване или ограничения на формата на паролата хакерите могат да не бързат.
Разбира се, това може да стане само след като първоначалната атака е била успешно стартирана, независимо дали става въпрос за хакер, който получава повишени привилегии и достъп до база данни, чрез използване на атака за инжектиране на SQL или чрез натъкване на незащитен сървър.
Далеч от най-сложния в техническо отношение метод в този списък, сърфирането през рамо е една от най-елементарните, но ефективни техники, с които разполагат хакерите, ако имат подходящ контекст и цел.
Донякъде е разбираемо, че при сърфирането през рамо хакерите просто надничат през рамото на потенциална цел, за да проследят визуално натискането на клавишите при въвеждането на пароли. Това може да се случи на всяко обществено място, например в кафене или дори в обществен транспорт, например по време на полет. Служител може да има достъп до интернет по време на полет, за да изпълни задача преди кацане, а хакерът може да седи наблизо и да следи за възможност да запише парола за имейл акаунт, например.
Ако редовно или дори по- рядко работите от обществени места, струва си да обмислите използването на устройство, снабдено с технология, която не позволява на любопитни очи да виждат какво има на дисплея. EliteBooks на HP например често се предлагат с възможност за конфигуриране на устройство с екран за поверителност Sure View. От онлайн търговците се предлагат и други опции на трети страни, които могат просто да се поставят върху дисплеите на повечето лаптопи, а и са на достъпни цени.
Ако всичко останало се провали, хакерът винаги може да се опита да отгатне паролата ви. Въпреки че има много мениджъри на пароли, които създават невъзможни за отгатване низове, много потребители все още разчитат на запомнящи се фрази. Те често се основават на хобита, домашни любимци или семейство, голяма част от които често се съдържат в самите страници на профила, които паролата се опитва да защити.
Най-добрият начин да се премахне това като потенциална възможност за престъпниците е да се поддържа хигиена на паролите и да се използват мениджъри на пароли, много от които са безплатни.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.