Τα password attacks είναι από τις πιο συνηθισμένες επιθέσεις στον κυβερνοχώρο. Δείτε παρακάτω όλα όσα πρέπει να γνωρίζετε.

Ο μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται από τους περισσότερους ανθρώπους για την προστασία των λογαριασμών και των συστημάτων τους, είναι ο κωδικός πρόσβασης. Ο κωδικός πρόσβασης είναι μια σειρά χαρακτήρων, αποτελούμενη συνήθως από γράμματα, ψηφία και σύμβολα.

Ο άνθρωπος που βρίσκεται πίσω από την ιδέα του κωδικού πρόσβασης είναι ο Fernando Corbató. Το 1961, ο Corbató ήταν επικεφαλής του Compatible Time-Sharing System (CTSS) project στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης. Ενώ εργαζόταν σε αυτό το project, διαπίστωσε ότι υπήρχε ένα πρόβλημα. Όπως είπε σε συνέντευξή του το 2012, είχαν δημιουργηθεί πολλαπλά terminals που θα χρησιμοποιούνταν από πολλά άτομα, αλλά με κάθε άτομο να έχει το δικό του ιδιωτικό σετ αρχείων. Η λύση του Corbató ήταν απλή: δώστε σε κάθε χρήστη τον δικό του κωδικό πρόσβασης.

Σιγά σιγά, τα πράγματα εξελίχθηκαν και οι κωδικοί πρόσβασης άρχισαν να χρησιμοποιούνται σε διάφορες πλατφόρμες, εφαρμογές κλπ. Οι κωδικοί πρόσβασης είναι πολύ σημαντικοί, δεδομένου ότι χρησιμοποιούνται για προστασία. Με δεδομένο αυτό, καθώς και την αύξηση των κυβερνοεπιθέσεων, διαπιστώνει κανείς ότι οι κωδικοί πρόσβασης μπαίνουν συχνά στο στόχαστρο των εγκληματιών.

Η πρώτη τεκμηριωμένη περίπτωση κλοπής κωδικού πρόσβασης έλαβε χώρα, λίγο μετά την εφεύρεση του κωδικού. Το 1962, ο Allan Scherr, ερευνητής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, ήθελε περισσότερο χρόνο ενασχόλησης με το CTSS για να εκτελέσει μερικές λεπτομερείς προσομοιώσεις. Για να αποκτήσει αυτήν την επιπλέον πρόσβαση, αποφάσισε να εκμεταλλευτεί μια διαδικασία που του επέτρεψε να εκτυπώσει τη λίστα με όλους τους κωδικούς που ήταν αποθηκευμένοι στο σύστημα και έτσι μπορούσε να μπαίνει με τον κωδικό οποιουδήποτε.

Ευτυχώς, ο Scherr δεν ήταν εισβολέας, αλλά συνεργάτης ερευνητής που εργαζόταν για το project.

Τώρα, όμως, αν κάποιος έχει στη διάθεσή του κωδικούς πρόσβασής τρίτων πιθανότατα δεν θα είναι για καλό. Και όταν μιλάμε για επαγγελματίες hackers, η απόκτηση των κωδικών πρόσβασης είναι “παιχνιδάκι”.

Οι εγκληματίες χρησιμοποιούν διάφορους τρόπους για να αποκτήσουν τα passwords ανυποψίαστων χρηστών, οι οποίοι πολλές φορές διευκολύνουν το έργο των hackers. Πολλοί χρήστες χρησιμοποιούν προσωπικά στοιχεία ως password, γιατί είναι πιο εύκολο να τα θυμούνται. Ωστόσο, αυτά τα στοιχεία μπορεί να είναι γνωστά και σε άλλους ανθρώπους (π.χ. η ημερομηνία γέννησης μπορεί να είναι διαθέσιμη στις πληροφορίες στα social media).

Όλες οι διαδικασίες που χρησιμοποιούν οι hackers για να μαντέψουν, να κλέψουν ή γενικά να αποκτήσουν τους κωδικούς πρόσβασης χρηστών, ανήκουν στην κατηγορία των password attacks.

Ας δούμε μερικούς από τους πιο συνηθισμένους τύπους password attacks:

Brute-Force επιθέσεις

Οι brute force επιθέσεις είναι ίσως ο πιο συνηθισμένος τύπος password επίθεσης. Λέγεται ότι το 80% των παραβιάσεων, περιλαμβάνουν τέτοιου είδους επιθέσεις. Αυτά τα password attacks εκμεταλλεύονται το γεγονός ότι πολλοί χρήστες χρησιμοποιούν μικρούς κωδικούς πρόσβασης. Όσο πιο μικρός είναι ο κωδικός πρόσβασης, τόσο πιο εύκολες είναι οι brute-force επιθέσεις.

Σε αυτόν τον τύπο επίθεσης, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν λογισμικά που δοκιμάζουν διάφορους συνδυασμούς usernames και passwords, μέχρι να πετύχουν τον σωστό συνδυασμό που θα τους δώσει πρόσβαση στο λογαριασμό ενός χρήστη. 

Η διαδικασία εύρεσης των passwords ξεκινά με τη χρήση συνηθισμένων κωδικών, όπως το “123456” και τη λέξη “password”, τα οποία χρειάζονται λιγότερο από ένα δευτερόλεπτο για να σπάσουν. Στη συνέχεια, δοκιμάζονται πιο σύνθετοι συνδυασμοί. Τα προγράμματα που χρησιμοποιούν οι hackers μπορούν να κάνουν έναν τεράστιο αριθμό συνδυασμών για να μαντέψουν το σωστό κωδικό.

Dictionary επιθέσεις

Οι dictionary επιθέσεις είναι μια μορφή brute-force επίθεσης. Αρχικά, οι εγκληματίες δοκίμαζαν απλές λέξεις από λεξικά σε διάφορες γλώσσες, όπως Αγγλικά, Γαλλικά ή Ισπανικά.

Η ιδέα πίσω από αυτό τον τύπο επίθεσης, είναι ότι πολλοί άνθρωποι χρησιμοποιούν μια απλή καθημερινή λέξη ως κωδικό πρόσβασης. Επίσης, δοκιμάζονται καθημερινές λέξεις και φράσεις αλλά και γνωστά ονόματα ανθρώπων, τίτλοι ταινιών κλπ.

Με την πάροδο του χρόνου, ωστόσο, οι εισβολείς άρχισαν να αξιοποιούν και λίστες κωδικών πρόσβασης που είναι εκτεθειμένες στο Διαδίκτυο.

Οι πιο σύνθετες dictionary επιθέσεις χρησιμοποιούν στοιχεία που είναι εξατομικευμένα για κάθε στόχο και που μπορούν να βρεθούν εύκολα στο διαδίκτυο. Για παράδειγμα, θα μπορούσε να δοκιμαστεί το όνομα του κατοικιδίου ενός χρήστη, το οποίο θα μπορούσε να βρει εύκολα κάποιος μέσα από τα social media του στόχου.

Password Spraying (τύπος brute force επίθεσης)

Επόμενο password attack είναι η password spraying επίθεση, όπου οι εγκληματίες χρησιμοποιούν κάποιους συνηθισμένους και γνωστούς κωδικούς πρόσβασης σε πολλούς διαφορετικούς λογαριασμούς, για να δουν αν μπορεί να επιτευχθεί πρόσβαση.

Δεδομένου ότι οι κωδικοί πρόσβασης επαναχρησιμοποιούνται τόσο συχνά, αυτή η επίθεση έχει μεγάλα ποσοστά επιτυχίας.

Δείτε επίσης: Η χρήση ίδιων passwords σε διαφορετικούς λογαριασμούς είναι πολύ επικίνδυνη!

Οι password spraying επιθέσεις στοχεύουν συνήθως single sign-on και cloud-based πλατφόρμες και μπορούν να αποδειχθούν ιδιαίτερα επικίνδυνες για αυτές.

Credential Stuffing

Επόμενη επίθεση είναι η credential stuffing επίθεση. Οι εισβολείς χρησιμοποιούν συνδυασμούς usernames και passwords για να αποκτήσουν πρόσβαση σε λογαριασμούς, τους οποίους όμως δεν μαντεύουν, όπως στις brute force επιθέσεις. Οι hackers χρησιμοποιούν κλεμμένα credentials.

Δείτε επίσης: 2020: Εντοπίστηκαν 193 δισεκατομμύρια credential stuffing απόπειρες

Οι credential stuffing επιθέσεις βασίζονται στην υπόθεση ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους κωδικούς πρόσβασης σε πολλούς λογαριασμούς.

Με την πάροδο των ετών, πολλές παραβιάσεις έχουν οδηγήσει στη διαρροή ενός τεράστιου αριθμού παραβιασμένων credentials.

Οι εισβολείς χρησιμοποιούν τις λίστες με τα εκτεθειμένα credentials, για να επαληθεύσουν ποιοι από τους κλεμμένους κωδικούς πρόσβασης εξακολουθούν να είναι έγκυροι ή να λειτουργούν σε άλλες πλατφόρμες. Όπως συμβαίνει και με τις brute force επιθέσεις, έτσι υπάρχουν και εδώ αυτοματοποιημένα εργαλεία που κάνουν τις credential stuffing επιθέσεις απίστευτα επιτυχημένες.

Keylogger

Το keylogger είναι ένα είδος spyware που παρακολουθεί τη δραστηριότητα ενός χρήστη καταγράφοντας τις πληκτρολογήσεις του. Το keylogger είναι ιδιαίτερα επικίνδυνο, καθώς ακόμα και οι ισχυρότεροι κωδικοί πρόσβασης δεν μπορούν να προστατεύσουν το χρήστη.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν keyloggers για κλοπή ποικίλων ευαίσθητων δεδομένων, από κωδικούς πρόσβασης έως αριθμούς πιστωτικών καρτών.

Σε ένα password attack, το keylogger καταγράφει όχι μόνο το όνομα χρήστη και τον κωδικό πρόσβασης, αλλά και τον ιστότοπο ή την εφαρμογή στα οποία χρησιμοποιούνται αυτά τα credentials. Επομένως, είναι όλα ξεκάθαρα και ο εγκληματίας δεν χρειάζεται να μαντέψει ή να ψάξει τα credentials για έναν λογαριασμό.

Οι επιτιθέμενοι εγκαθιστούν, συνήθως, το keylogger στον υπολογιστή του θύματος, κάνοντας το θύμα να κάνει κλικ σε ένα κακόβουλο σύνδεσμο ή συνημμένο.

Phishing

Τέλος, δεν πρέπει να ξεχνάμε και το phishing, το οποίο, επίσης, ανήκει στην κατηγορία των password attacks.  Ίσως η πιο απλή μέθοδος απόκτησης των credentials ενός χρήστη για την παραβίαση του λογαριασμού του.

Δείτε επίσης: Phishing emails στοχεύουν υπάλληλους με δόλωμα την επιστροφή στα γραφεία

Για ποιο λόγο να μαντεύει ο hacker το password όταν θα μπορούσε απλά να το ζητήσει από τον ίδιο το χρήστη;

Οι εγκληματίες στέλνουν στα θύματα μηνύματα από φαινομενικά νόμιμες και γνωστές υπηρεσίες. Συχνά στοχεύουν υπαλλήλους, παριστάνοντας ένα στέλεχος της εταιρείας. Μέσα από αυτά τα emails, οι hackers οδηγούν τα θύματα σε πλαστές σελίδες σύνδεσης, όπου καλούνται να δώσουν τα credentials του.

Το phishing και η κλοπή credentials μέσω αυτής της μεθόδου είναι εξαιρετικά συχνό φαινόμενο.

Στρατηγικές για τη μείωση του κινδύνου ενός password attack

1. Pen Test

Ο καλύτερος τρόπος για να μάθετε αν ο οργανισμός σας είναι ευάλωτος σε password attacks είναι να δοκιμάσετε μια επίθεση με pen test. Ένα αυτοματοποιημένο pen testing tool μπορεί να χρησιμοποιηθεί για γρήγορη εκτέλεση password επιθέσεων.

Για παράδειγμα, μπορεί να εκτελεστεί ένα password spraying scenario για να διαπιστωθεί εάν το περιβάλλον σας είναι ευάλωτο, αποκαλύπτοντας ποια μηχανήματα μοιράζονται credentials.

Αυτό δίνει χρόνο να αλλάξουν οι κωδικοί πρόσβασης πριν από μια πραγματική επίθεση.

2. Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)

Το MFA θέτει πρόσθετα εμπόδια στους εισβολείς, αφού δεν αρκεί να χρησιμοποιήσουν τον κωδικό πρόσβασης του χρήστη.

3. Ισχυροί κωδικοί πρόσβασης

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων προσθέτει περισσότερα εμπόδια, κάθε εμπόδιο όμως πρέπει να είναι όσο το δυνατόν ισχυρότερο. Για παράδειγμα, πολλοί τύποι MFA ζητούν τη δεύτερη μορφή ελέγχου ταυτότητας μόνο όταν επικυρωθεί η πρώτη.

Αυτό σημαίνει ότι ένας εισβολέας δεν αποκτά πρόσβαση, αλλά θα ξέρει ότι είχε τα σωστά credentials. Έτσι, μπορεί να ξεκινήσει μια password spraying επίθεση στο υπόλοιπο δίκτυο και ενδέχεται να πέσει σε εφαρμογές που δεν διαθέτουν MFA.

Επομένως είναι σημαντικό να διασφαλιστεί ότι οι κωδικοί πρόσβασης είναι όσο το δυνατόν πιο περίπλοκοι και μοναδικοί. Τα password managers μπορούν να βοηθήσουν στη δημιουργία ισχυρών κωδικών. Ιδανικά, τα passwords πρέπει να αποτελούνται από περισσότερους από 12 χαρακτήρες και να περιλαμβάνουν τυχαίους αριθμούς, σύμβολα και γράμματα.

4. Παρακολούθηση δραστηριότητας/συστημάτων

Η συνεχής παρακολούθηση τω συστημάτων και των δικτύων είναι απαραίτητη προκειμένου να ανιχνευθεί κάποια ύποπτη δραστηριότητα.  

Επίσης, η απαγόρευση πρόσβασης σε έναν λογαριασμό μετά από έναν συγκεκριμένο αριθμό αποτυχημένων προσπαθειών, μπορεί να είναι αρκετά βοηθητική στην ανίχνευση πιθανής παραβίασης.

5. Πολυεπίπεδη άμυνα

Τα εργαλεία που εστιάζουν στον κωδικό πρόσβασης, όπως password managers και MFA πρέπει να συνδυάζονται με άλλες λύσεις ασφαλείας, όπως τα antivirus λογισμικά και άλλες μορφές εντοπισμού απειλών.

Αυτά μπορούν να χρησιμοποιηθούν και για πρόληψη αλλά και για την αντιμετώπιση επιθέσεων.

Με την εφαρμογή πολυεπίπεδης άμυνας, οι οργανισμοί μπορούν να είναι πιο ασφαλείς.

6. Εκπαίδευση

Σε πολλές περιπτώσεις, όπως στις phishing επιθέσεις, η κλοπή credentials οφείλεται στο ανθρώπινο λάθος.

Οι hackers καταφέρνουν να εξαπατήσουν τους χρήστες, οι οποίοι από μόνοι τους δίνουν τα credentials τους ή ανοίγουν κακόβουλους συνδέσμους που εγκαθιστούν malware.

Επομένως, η εκπαίδευση του προσωπικού (αλλά και η προσωπική) είναι απαραίτητη για την αναγνώριση διαφόρων απειλών.

Όπως φαίνεται, τα password attacks μπορούν να μας βάλουν σε μπελάδες και δυστυχώς αυτές οι επιθέσεις είναι πολύ συνηθισμένες. Γι’ αυτό το λόγο, όλοι πρέπει να είμαστε πολύ προσεκτικοί!