Что такое атаки с распылением паролей и как их предотвратить

Что такое атака с распылением паролей?

Распыление паролей – это один из методов брутфорса, который предполагает использование одного и того же пароля для взлома нескольких учетных записей. Испытав комбинации с одним паролем, злоумышленник переходит к другому. Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например password, 123456 и так далее.

Во многих организациях действует политика блокирования учетной записи сотрудника после нескольких неудачных попыток входа. Использование одного пароля в комбинации с разными логинами позволяет избежать блокирования учетных записей, как в случае классического брутфорса, когда злоумышленник пытается войти в один аккаунт с разными паролями.

Ключевая особенность «распыления» (и название метода прекрасно ее отражает) состоит в том, что мишенью атаки становится не один пользователь, а тысячи и даже миллионы. Процесс этот, как правило, автоматизирован, и обнаружить его удается не сразу.

Атаки с распылением паролей часто происходят в организациях, где используются пароли по умолчанию, – их могут устанавливать для новых пользователей администраторы или сами приложения. Системы единого входа и облачные платформы тоже часто становятся источником угрозы.

Несмотря на то что распыление паролей кажется довольно простым методом по сравнению с другими типами атак, им пользуются даже продвинутые группировки киберпреступников. Например, в 2022 году Агентство США по кибербезопасности и защите инфраструктуры (CISA) опубликовало предупреждение о киберпреступниках, работающих на госструктуры, и методах, которые они используют для получения доступа к целевым сетям, – и одним из таких методов было не что иное, как распыление паролей.

Как происходит атака с распылением паролей?

Обычно атака с распылением паролей включает три этапа.

Этап 1. Покупка логинов или создание собственного списка

При подготовке к атаке с распылением паролей злоумышленники обычно покупают перечень имен пользователей, украденных из различных организаций. По данным специалистов, в теневом интернете на продажу выставлены около 15 миллиардов логинов.

Бывает, что они создают собственный список возможных имен пользователей по корпоративной модели, например firstname.lastname@companyname.com. Имена и фамилии сотрудников они берут из LinkedIn или других открытых источников.

Некоторые преступники атакуют строго определенные категории сотрудников – бухгалтеров, администраторов или руководителей высшего звена. Такой целенаправленный подход часто бывает более продуктивным. Удобной целью могут стать компании и отделы, где нет многофакторной аутентификации либо используется система единого входа или федеративной проверки подлинности (они позволяют зайти, например, в Facebook по учетным данным Google).

Этап 2. Получение списка распространенных паролей

Для атак с распылением паролей нужны списки распространенных паролей или паролей, используемых по умолчанию. Найти такие пароли довольно просто. Для этого достаточно почитать ежегодные отчеты о слабых или популярных паролях или Википедию – тут есть страничка, на которой перечислено около 10 000 самых распространенных паролей. Иногда киберпреступники проводят собственное исследование и самостоятельно составляют список возможных паролей, включая в него названия спортивных команд или географических ориентиров в том регионе, где находится целевая организация.

Этап 3. Проверка комбинаций логина и пароля

Составив перечень имен пользователей и паролей, злоумышленники начинают перебирать их, пока не найдут верную пару. Обычно для этого используются специальные инструменты для распыления паролей. Сначала злоумышленники пытаются взломать разные учетные записи с помощью одного пароля и затем переходят к следующему. Это позволяет обойти политики блокирования пользовательской учетной записи или IP-адреса, которые ограничивают количество попыток входа.

Последствия атак с распылением паролей

Цель атаки с распылением паролей – получить конфиденциальную информацию или расширенные права для дальнейшего подрыва безопасности организации и извлечения еще более ценных данных.

Успешные атаки с распылением паролей способны доставить организации немало проблем. Например, преступник может воспользоваться украденными учетными данными для доступа к банковским счетам и растраты корпоративного бюджета. Если вовремя не обнаружить такую угрозу, бизнес понесет крупные финансовые потери. На восстановление своего положения после кибератаки компании может потребоваться несколько месяцев и даже больше.

Атаки с распылением паролей приводят не только к финансовым потерям. Они способны нарушить или даже остановить нормальные рабочие процессы. Если все сотрудники компании будут тратить время на чтение разосланных злоумышленником писем, работать будет просто некому. Захватив учетную запись, преступник может получить личную информацию сотрудника, отменить покупки или изменить дату оказания услуг.

Кроме всего перечисленного, компания может понести репутационный ущерб – далеко не все клиенты готовы доверять свои данные организации, которая пропустила атаку. Они могут перейти к конкуренту, что еще хуже.

Пример атаки с распылением паролей

«Меня попросили изменить пароль, когда преступники атаковали мой банк, пользуясь методом распыления паролей. Они пытались взломать учетные записи клиентов банка, перебирая миллионы комбинаций логинов и паролей, и, к сожалению, я был одним из таких клиентов».

Распыление паролей и брутфорс-атаки

Атака с распылением паролей предполагает использование одного и того же распространенного пароля для взлома нескольких учетных записей. В ходе брутфорс- преступники, наоборот, перебирают множество паролей для взлома одной учетной записи.

Иными словами, брутфорс – это одна учетная запись и несколько паролей. Распыление паролей – это один пароль и несколько учетных записей. Это разные методы.

Признаки атаки с распылением паролей

Атаки с распылением паролей сопряжены с многочисленными неудачными попытками авторизации в разных аккаунтах. Для выявления такой активности нужно изучить журналы аутентификации на предмет неудачных попыток входа в систему и приложения.

Вот основные признаки атаки с распылением паролей:

• большое количество попыток аутентификации за короткий период времени;
• резкое увеличение неудачных попыток входа активных пользователей;
• попытки входа в несуществующие или деактивированные аккаунты.

Как предотвратить атаки с распылением паролей

Вот несколько рекомендаций, которые помогут организациям защитить свои учетные записи от атак с распылением паролей.

Внедрите политику сильных паролей
Внедрив политику сильных паролей, IT-отделы смогут свести к минимуму риск атаки с распылением паролей. Читайте, как создавать надежные пароли, в нашей статье.

Настройте мониторинг попыток аутентификации
IT-отделам следует отслеживать попытки входа в разные учетные записи с одного и того же хоста в течение короткого периода времени – это явный индикатор атаки с распылением паролей.

Внедрите строгую политику блокировки аккаунтов
Задайте оптимальное количество попыток входа в учетную запись на уровне домена, чтобы защитить компанию от атаки с распылением паролей. Здесь важно найти баланс. Значение должно быть достаточно низким, чтобы не допустить множественных попыток входа в систему, но не настолько низким, чтобы отключать сотрудника от учетной записи из-за банальной опечатки. В компании должен быть предусмотрен четкий порядок разблокировки учетной записи и подтверждения личности пользователя.

Придерживайтесь принципа «нулевого доверия»
Принцип «нулевого доверия» означает, что доступ предоставляется только тем людям, кому он необходим, и лишь тогда, когда это нужно. Это один из главных принципов обеспечения безопасности сети.

Откажитесь от стандартной модели при создании логинов
Оставьте очевидные имена пользователей, такие как john.doe или jdoe, только для адресов электронной почты. Отдельные, нестандартные логины для единого входа в учетные записи – еще один способ избежать атаки.

Используйте биометрическую аутентификацию
Буквенно-цифровые пароли остаются уязвимыми, как ни крути. Снизить риски можно с помощью биометрической аутентификации. Злоумышленник не сможет войти в учетную запись, если ее владельца не будет рядом.

Отслеживайте подозрительную активность
Используйте инструменты безопасности, которые могут выявить подозрительную активность при аутентификации, например когда большое количество пользователей пытается войти в систему одновременно.

Менеджер паролей – эффективный инструмент для защиты от атак

Пароли призваны защищать конфиденциальную информацию от преступных посягательств. Однако у современного среднестатистического пользователя столько паролей, что запомнить их все невозможно, – ведь для надежной защиты данных нужно использовать только уникальные пароли.

Чтобы не запутаться в паролях, многие пользователи совершают распространенную ошибку – они используют очевидные или слишком простые пароли либо защищают одним паролем несколько учетных записей. Именно на таких пользователей и рассчитаны атаки с распылением паролей.

В последние годы у преступников появилось множество новых инструментов и возможностей. Компьютеры научились быстро подбирать пароли, и теперь для атаки на базу паролей или учетную запись преступникам достаточно запустить специальную программу на своем устройстве, а особые техники и стратегии позволяют им добиваться успеха чаще, чем когда-либо.

Защититься от атак пользователям помогут менеджеры паролей, например Kaspersky Password Manager. Они способны генерировать длинные и сложные пароли, которые практически невозможно взломать. Пользователям таких программ не нужно запоминать пароли от многочисленных учетных записей, а если они попробуют защитить свой аккаунт паролем, который уже используется, приложение предупредит их об этом. Это удобное решение для генерации, хранения и управления паролями.

Другие продукты 

• Kaspersky Password Manager

Статьи по теме: 

• Защита данных в интернете с помощью менеджера паролей