אין סיסמה שהיא חזקה מספיק. מהן מתקפות Brute Force?

02.04.23

ESET02.04.23

כאשר אנו מנסים להגן על הנתונים שלנו מפני פושעי סייבר, יש הגנה אחת שכולנו צריכים להשתמש בה: סיסמה.

שמירה על מידע אישי, פרטי חשבון בנק, קבצים רגישים ועוד מוגנים לרוב על ידי סיסמאות. סיסמה היא מפתח שפושעי הסייבר רוצים להשיג - והתקפות brute force הן אחת הדרכים להגיע למטרה זו. הכירו את הסוגים השונים של האיום הזה וגלו כיצד ניתן לצמצם את הסיכוי להפוך לקורבן.

שמירה על היגיינת סיסמאות נכונה יכולה להיות משימה לא פשוטה בעידן הדיגיטלי בו אנו חיים. על פי מחקר של Specops משנת 2022

• 48% מהנסקרים מחזיקים בממוצע 11 סיסמאות שונות בעבודה.
• רק ל-1.57% יש סיסמה קשיחה שמורכבת מאותיות גדולות, אותיות קטנות, ספרות וסימנים מיוחדים.
• 54% מחזיקים את הסיסמאות שלהם בצורה לא בטוחה. כותבים על נייר, או פתק, שומרים בקובץ במחשב או משתמשים באותה
סיסמה רק בוריאציות שונות שלה.

עבור פושעי סייבר, פרטי ההתחברות הם מצרך יקר ומשתלם - חברות מודעות לכך היטב. כדי להגן על הפרטיות של המשתמשים, עלינו לשאוף ללא הרף להפוך את האבטחה לקשיחה יותר, למשל, על ידי דרישת סיסמאות מורכבות מהעובדים.

ובכל זאת, חלק מהעובדים מזלזלים בפושעי סייבר, מאמינים שאם הם לא משתמשים בסיסמאות קצרות וקלות לפריצה כמו 123456, הסיסמאות שלהם מספיק בטוחות והם בטוחים מאיומים.

זה לא יכול להיות יותר רחוק מהאמת. בהתקפות brute force, פושעי סייבר מנסים לנחש או להשיג פרטי התחברות של המשתמשים ולקבל גישה לחשבונותיהם - וכפי שמוצג מהסטטיסטיקה, באופן מפתיע גם במקרים של פריצה מוצלחת, לעתים קרובות נעשה שימוש בסיסמאות מורכבות.

• 93% מהסיסמאות שפוצחו על ידי מתקפות brute force היו בעלות 8 תווים ומעלה
• 41% מהסיסמאות שפוצחו על ידי מתקפות brute force היו בעלות 12 תווים ומעלה
• 68% מהסיסמאות שפוצחו על ידי מתקפות brute force היו בהן לפחות שני סוגים של תווים

כפי שהמספרים מראים, האקרים מודעים להתפתחויות באבטחת סיסמאות ומתאימים בקלות את הטקטיקות שלהם כדי להשיג הצלחה. האיום של התקפות מסוג זה יכול לבוא בצורות רבות - בואו נכיר אותן טוב יותר.

מתקפת Brute force

במתקפה זו, האקרים מנסים לנחש את הסיסמה מבלי להשתמש בתוכנה או מסד נתונים מיוחד. הם עשויים, למשל, לבדוק את שילובי הסיסמאות הנפוצים ביותר או להשתמש במידע הנגיש באינטרנט, למשל, במדיה החברתית של הקורבן.

מתקפות ריסוס סיסמאות

במהלך התקפות ריסוס סיסמאות, האקרים משתמשים ברשימה של הסיסמאות וביטויי הסיסמה השכיחים ביותר, ועל ידי שימוש בתוכנה ייעודית, הם בודקים את אותה הסיסמה בחשבונות רבים ושונים. כתוצאה מכך, ייתכן שמדיניות הנעילה לא תבחין במתקפה, ובנוסף, מתקפה אחת עלולה להוביל להאקרים גישה לעשרות או אפילו מאות חשבונות שונים.

התקפת מילון (Dictionary)

האקרים מנסים שילובים ווריאציות שונות של מילים נפוצות במהלך התקפת מילון. ההתקפות לרוב אינן מבוצעות באופן ידני - האקרים משתמשים לרוב בתוכנה שעובדת עם רשימות סיסמאות נפוצות ומילונים נרחבים (כפי שמרמז שם המתקפה) ומכניסה את שילובי הסיסמאות הרבים האפשריים למערכת הנבחרת.

מילוי פרטי התחברות

אם תוקף מחזיק ברשימה של פרטי התחברות שדלפו, מאתר מסוים, הוא עשוי להשתמש בתוכנה מיוחדת כדי להזין את שילובי שם המשתמש והסיסמה באתרים רבים. במקרה שהמשתמש המושפע משתמש באותם פרטי ההתחברות עבור מספר אתרים שונים - וזו, למרבה הצער, עדיין טעות נפוצה - הפושעים עשויים לקבל גישה למספר חשבונות עם שילוב אחד בלבד של פרטי ההתחברות.

מתקפות Brute force הפוכות

לפעמים, לפושעי רשת כבר יש את הסיסמה - כל מה שהם צריכים לעשות הוא למצוא את המשתמש הנכון. באמצעות רשימות הסיסמאות שהודלפו בפרצות נתונים קודמות, ההאקרים עשויים לחפש פלטפורמות ומסדי נתונים שונים, ולנסות את פרטי ההתחברות שנפגעו בחשבונות שונים.

מתקפות Brute force היברדיות

התקפות אלו משלבות את טכניקות ההתקפה שתוארו לעיל. בדרך כלל, האקרים בוחרים במתקפת מילון בשילוב עם מתקפת brute force הקלאסית. בניסיון לפרוץ לחשבונות שונים - בדרך כלל כבר מכירים את שמות המשתמש - הם משתמשים במילים וביטויים נפוצים בשילוב עם קבוצה של אותיות או מספרים, שעשויים להיות אקראיים או מבוססים על מחקרים קודמים על הקורבנות.

איך להתגונן מפני התקפות Brute force?

עבור העובדים עצמם, האמצעי העיקרי שהם צריכים לדבוק בו הוא שמירה על היגיינת סיסמאות נאותה. זה עשוי להיות מורכב משימוש בסיסמה ייחודית עבור כל חשבון, בחירה בביטויי סיסמה ארוכים יותר המכילים תווים שונים, ושימוש במנהל סיסמאות אמין כדי לאחסן את פרטי ההתחברות שלהם. שימוש באימות רב-שלבי (MFA) הוא גם בגדר חובה. הודות ל-MFA, גם אם שם המשתמש והסיסמה שלך נחשפו או דלפו, יהיה להאקרים יותר קשה לגשת לנתונים באופן מידי.

עבור עסקים: ניתן גם לשקול שימוש ב-CAPTCHA כדי למנוע מכלי התקפתbrute force מלהיכנס למערכות הארגון. כמו כן, מומלץ לשנות את ביטויי הסיסמה מעת לעת. לבסוף, חשוב להגדיר מדיניות סיסמאות מאובטחת ולשפר עוד יותר את בטיחות העובדים והארגון על ידי ניטור אקטיבי של הפעילות המתרחשת בפלטפורמות ובמערכות הארגון. הקפדה על נהלים בטוחים ושמירה על ערנות מונעת מצמצמת את הסיכונים.