Hasła są kluczowym elementem naszego internetowego życia. Działają jako klucze zapewniające dostęp do naszych ulubionych witryn, kont bankowych, kont w mediach społecznościowych, kont użytkowników w firmie (do komputera) i kont e-mail.
Hasło jest cały czas najpopularniejszą metodą na potwierdzanie tożsamości online. Nazwa użytkownika działa jako mechanizm identyfikacyjny, który informuje witrynę, kim jesteśmy, podczas gdy hasło działa jako mechanizm uwierzytelniania w celu sprawdzenia czy tożsamość, o którą się ubiegamy, jest naprawdę autentyczna.
Nie musimy chyba pisać o tym jak ważne jest, aby chronić swoje hasła i postępować zgodnie z najlepszymi praktykami dotyczącymi bezpieczeństwa haseł. Pisaliśmy o best-practices tutaj.
Prawie każdy cyberatak wiąże się ze złamaniem lub kradzieżą hasła do konta i wykorzystaniu go potem do kradzieży wrażliwych danych. Wyjątkiem może być tutaj ransomware lub inny atak destrukcyjny. Dlatego właśnie hasła pełnią tak ważną rolę w polityce bezpieczeństwa, także w odpowiedniej higienie pracy w Internecie.
Postanowiliśmy opisać wszystkie najpopularniejsze metody jakimi posługują się dziś cyberprzestępcy w celu poznania hasła ofiary.
1. Credentials Stuffing
Metoda ta ma miejsce, gdy osoba atakująca ma już dostęp do kombinacji nazwy użytkownika i hasła, które są zwykle uzyskiwane w wyniku naruszenia danych w innych portalach powiązanych z ofiarą. W tego rodzaju atakach hackerzy próbują stworzyć kombinację znanych loginów i haseł należących do ofiary i uwierzytelnić się na docelowym systemie. Ukierunkowany atak polegający na „wypychaniu poświadczeń” może zakończyć się sukcesem w ramach jednej próby, podczas gdy kampania na dużą skalę może wypróbować tysiące kombinacji w jednej witrynie z różnych źródłowych adresów IP.
Aby zapobiegać atakom typu Credential Stuffing, upewnij się, że nie używasz ponownie podobnych lub takich samych haseł na kilku kontach. Warto monitorować czy Twoje poświadczenia nie zostały skompromitowane na portalu haveibeenpwned.com, o którym pisaliśmy tutaj. Jeśli Twoje hasła zostaną kiedykolwiek naruszone, natychmiast je zmień.
2. Password Cracking
Powszechnie nazywane „łamanie haseł” to zbiór technik, których cyberprzestępcy używają do odgadywania haseł użytkowników. Dwie najpopularniejsze techniki łamania haseł, które spotykamy to Brute Force oraz atak słownikowy (ang. Dictionary Attack). Rozróżnić możemy jeszcze łamanie haseł online oraz offline, o którym pisaliśmy na przykładzie oprogramowania Hashcat.
W przypadku ataku słownikowego osoba atakująca używa obszernej listy zawierającej słowa i kombinacje słów ze słowników popularnych lub wyciekniętych haseł, aby spróbować odgadnąć właściwe hasło do konta. Dostępne publicznie słowniki z powszechnymi hasłami zawierają gigabajty wpisów i często okazują się skuteczną bronią.
Atak Brute Force to metoda próbująca różnych kombinacji liter, cyfr i znaków specjalnych, aby spróbować „odgadnąć” prawidłowe hasło. Hasła sprawdzane są maszynowo jedno za drugim ze wszystkich dostępnych kombinacji znaków. Ta metoda najlepiej sprawdza się przy łamaniu haseł offline z wykradniętego wcześniej skrótu hasła. Im większa moc obliczeniowa maszyny atakującego tym szybciej sprawdzane są wszystkie kombinacje znaków.
Złamanie słabych haseł przy użyciu odpowiednich narzędzi może zająć kilka minut, dlatego niezwykle ważne jest używanie silnych i unikatowych haseł, składających się z wielu znaków (najlepiej ponad 10) oraz zawierających znaki specjalne, duże i małe litery oraz cyfry.
3. Podglądanie
Może brzmieć to śmiesznie, ale na 3 miejscu metod poznawania haseł jest po prostu, tak zwane „podglądanie przez ramię” (ang. shoulder surfing). Dzieje się tak, ponieważ użytkownicy nie są świadomi, że gdy wpisują hasła na klawiaturze w miejscach publicznych mogą być obserwowani przez inne osoby. Chodzi przede wszystkim o takie miejsca jak biuro, kawiarnie, samoloty, restauracje itp.
Wszędzie tam, gdzie uzyskujesz dostęp do poufnych informacji i wprowadzasz hasła w miejscu publicznym, możesz narazić swoje hasła na ryzyko kradzieży. Bądź świadomy swojego otoczenia podczas uwierzytelniania i upewniaj się, że nikt Cię nie obserwuje.
4. Inżynieria społeczna
Inżynieria społeczna celuje w najsłabsze ogniwo bezpieczeństwa: ludzi. Tematowi temu poświęciliśmy nawet oddzielną kampanię i rozpisaliśmy się na ten temat tutaj. Takie techniki są niezwykle powszechne i często dość skuteczne. Inżynieria społeczna to przede wszystkim atak psychologiczny nakłaniający ludzi do wykonania czynności, której inaczej by nie zrobili. Opiera się na zaufaniu bądź strachu, czyli w skrócie na silnych emocjach. Na przykład osoba atakująca może wejść do fizycznego centrum przetwarzania danych. Po wejściu do środka może zwrócić się do pracownika i powiedzieć, że rozwiązują problem z bardzo ważną usługą, a ich poświadczenia nie działają. W ten sposób można nakłonić użytkownika do podania lub wpisania gdzieś jego hasła.
Inżynieria społeczna może zadziałać na wiele sposobów, w tym przez telefon, za pośrednictwem mediów społecznościowych, poprzez phishing e-mail. Aby się zabezpieczyć, weryfikuj tożsamość każdego, kto żąda poufnych informacji lub haseł. Nigdy nie udostępniaj poufnych informacji, zwłaszcza swoich haseł, komuś, kogo nie znasz, nie ufasz lub nie możesz zweryfikować. W rzeczywistości nikt nigdy nie powinien prosić Cię o podanie mu swojego hasła. W większości przypadków renomowani dostawcy usług mają alternatywne sposoby uzyskiwania informacji, które nie będą wymagały Twoich danych uwierzytelniających.
5. Phishing
Chociaż phishing jest podkategorią inżynierii społecznej, jest tak powszechny, że zasługuje na swoją własną kategorię „ataku”. Phishing ma miejsce, gdy osoba atakująca tworzy wiadomość e-mail lub SMS tak, aby wyglądała na pochodzącą z legalnego źródła, aby nakłonić ofiarę do kliknięcia łącza lub podania poufnych informacji, takich jak hasła, numery kart kredytowych, informacje o koncie bankowym i inne. Takie maile mogą wahać się od pięknie spreparowanych i niepostrzeżenie zbliżonych do prawdziwej oferty, po śmiesznie proste i oczywiście fałszywe.
Ukierunkowane ataki phishingowe, znane jako spear-phishing, są niezwykle skuteczne i często wydają się pochodzić z zaufanego źródła, takiego jak szef lub współpracownik. Jeśli otrzymasz wiadomość e-mail od zaufanej osoby z prośbą o coś podejrzanego, zweryfikuj, czy wysłała ją rzeczywiście ta osoba, na przykład dzwoniąc do niej.
Nigdy nie klikaj linków w wiadomościach e-mail, ponieważ często mogą one prowadzić do fałszywych stron phishingowych zaprojektowanych do zbierania danych uwierzytelniających i przekazywania ich atakującym.
6. Wireless Sniffing
Atakujący używający narzędzi do badania ruchu sieciowego może „podsłuchiwać” sieć w celu przechwytywania i odczytywania przesyłanych pakietów danych. W ten sposób hacker przechwytuje dane przesyłane między komputerem niczego niepodejrzewającego użytkownika a serwerem, do którego klient wysyła żądanie. Jeśli witryna nie korzysta z certyfikatu SSL, osoba atakująca korzystająca z tych narzędzi może łatwo uzyskać Twoje hasła po prostu przechwytując wysłane pakiety, w których hasła są możliwe do odczytania czystym tekstem.
Dlatego w publicznej sieci Wi-Fi korzystaj z VPN podczas uzyskiwania dostępu do witryn, aby osoba atakująca nie mogła łatwo przechwycić i odczytać Twoich danych przesyłanych po Internecie podczas procesu logowania.
7. Atak Man-in-the-Middle
Atak ten ma miejsce, gdy osoba atakująca przechwytuje ruch, podszywając się pod legalny serwer odbierający żądania, a następnie przekazuje ten ruch dalej do prawdziwego serwera biorącego udział w komunikacji. Może to mieć miejsce w wielu różnych sytuacjach, od uzyskania dostępu do witryny internetowej z domu po dostęp do zasobów w biurze.
Najlepszą ochroną przed atakami typu Man-in-the-Middle jest upewnienie się, że odwiedzana witryna jest zaufana, a certyfikat SSL / TLS zainstalowany w witrynie jest ważny. Każda nowa przeglądarka internetowa ostrzeże Cię, jeśli pojawi się coś podejrzanego w certyfikacie witryny, więc jeśli otrzymasz takie ostrzeżenie, upewnij się, że nie wprowadzasz żadnych poufnych informacji ani haseł na tej stronie.
Atak Man-in-the-Middle jest problemem administratorów sieci i administratorów witryn, a sam użytkownik końcowy nie ma wpływu na jego zapobieganie czy detekcje.
8. Wyodrębnianie haseł użytkownika z systemu operacyjnego
Ta metoda wymaga dostępu cybeprzestępcy do systemu operacyjnego ofiary oraz umieszczenia na nim specjalistycznego oprogramowania takiego jak np. mimikatz. Istnieje jeszcze sposób, w którym cyberprzestępca wgrywa do systemu ofiary bibliotekę DLL, za pomocą której może zdobyć hasło użytkownika logującego się do Windows. Opisywaliśmy różne metody poznania takiego hasła użytkownika do systemu operacyjnego (konta logowania do Windows) tutaj, tutaj oraz tutaj.
9. Podsłuchiwanie haseł i hashy haseł użytkownika w sieci
Atak ten ma miejsce, jeśli cyberprzestępca znajduje się w sieci komputerowej ofiary. Może on podsłuchiwać pakiety sieciowe wysyłane przez jej komputer, w których znajdują się hasła lub skróty haseł i dekodować je. Sposób ten opisaliśmy tutaj.
Podsumowanie
Omówiliśmy najczęściej używane techniki kradzieży haseł. Zrozumienie tych typów ataków przez użytkowników końcowych jest ważne, aby być w pełni świadomym zagrożenia. Dzięki lepszemu zrozumieniu działań atakujących można odkryć, co należy zrobić, aby zabezpieczyć się przed złamaniem hasła. Warto edukować pracowników w bardziej szczegółowy sposób niż tylko opowiadać o najlepszych praktykach i wymaganiach polityk bezpieczeństwa. Jeśli podejdziemy do tematu od drugiej strony i opowiemy o motywacjach i możliwościach cyberprzestępców, może okazać się to dużo bardziej wartościowe.