密码喷洒:黑客针对目标帐户的新反向策略

已发表: 2019-04-18

黑客以使用蛮力攻击技术劫持账户并进行身份盗窃和信息滥用以及从综合银行账户窃取资金而闻名。 很难想象,这些黑客使用成百上千的密码组合来找到正确的密码组合并渗透到目标帐户进行身份盗用。 然而,网络攻击者现在已经找到了一种新的策略来针对帐户并破坏企业和个人级别的数据安全。 这种技术是什么,它对在线数据安全和身份保护构成什么危险? 提前阅读以找出答案。

必读:用户和企业的数据保护提示

密码喷涂:逆转蛮力

密码喷洒逆转蛮力
图片来源:雷德蒙德杂志

密码喷射是一种攻击类型,入侵者或黑客在多个登录名和用户名上尝试密码的单一组合。 这样做是为了确保至少有一个目标用户名被入侵,并且用户的信息被盗以进行进一步的不当行为。

密码喷洒与暴力破解有何不同?

密码喷洒与暴力破解不同
图片来源:ThreatPost

在 Brute Force 中,攻击者在用户名上尝试多个密码组合,以破坏该帐户以进行身份​​盗窃或在线抢劫。 但是,现在,如果在有限数量的实例中使用错误密码进行登录尝试,系统已被设计为启动锁定。 这可以确保黑客不会越过安全性并偏离目标任何帐户。

但是,这里的整个过程是相反的。 攻击者现在通过网络钓鱼攻击或审查社交资料获得多个用户名的详细信息。 然后他们采用一个非常常见的密码组合,然后在所有购买的用户名上运行它,希望他们至少能通过其中任何一个。

密码喷射攻击是如何进行的?

密码喷射攻击
图片来源:卡巴斯基实验室
  • 首先,攻击者使用网络钓鱼或社交工程来获取尽可能多的用户名。 在网络钓鱼中,攻击者试图通过诱使他们使用一些恶意广告技巧来收集用户数据。 在社会工程中,黑客会通过公司网站、LinkedIn 和 Twitter 等社交媒体平台以及其他投资组合出版物。
密码组合
图片来源:卢森堡麦芽汁
  • 密码组合取决于基本的人类倾向,他们在密码中使用“12345”等数字组合以及“下划线(_)”“速率(@)”等常见特殊字符。
密码组合 - 密码喷洒黑客
图片来源:WTSCI
  • 然后在所有用户名上尝试该组合。 很有可能其中至少有一个会成为这种策略的牺牲品,并且会因黑客滥用和非法行为而被窃取信息和个人详细信息。

对企业的真正威胁

对企业的真正威胁
图片来源:数字取证组

与个人帐户相比,对于企业而言,密码喷涂更危险。 在几乎每个大中型企业中,电子邮件 ID 和用户名都在企业名称的域下。 例如,在 Google,所有员工都有一个电子邮件 ID,后跟@google.com。 用户名组合也很常见,例如[email protected]

编号系列和企业名称
图片来源:VooServers

在这种情况下,黑客可能会尝试使用包含数字序列和企业名称的密码组合。 即使其中一个帐户被黑客入侵,黑客也可以通过访问私人电子邮件和共享数据文件来获取其他人的信息。 这不仅会使企业损失员工的信息,还会损失他们的机密文件和合同通信细节。 现在,这些细节可能会损害财务状况良好的企业,也可能会损害其在市场上的形象。

密码喷洒对黑客来说是否成功?

Citrix - 美国云计算和网络服务提供商
图片:技术总部

近日,美国云计算和网络服务提供商 Citrix Inc. 遭到劫机者使用密码喷射技术的攻击。 尽管思杰的早期侦查和联邦调查局(FBI)对该案的介入使其免于重大信息损失,但也促使FBI对此问题展开专项调查,并向美国所有企业发布警告声明。 甚至 CERT 也发布了一份关于黑客使用的密码喷洒方法能力的报告。 联邦调查局还报告说,欧洲和美国的 36 家企业已经面临通过密码喷洒策略的数据泄露尝试。

因此,很明显该技术对黑客来说是可行的,并且有必要承认它的威胁潜力。

如何检测密码喷洒?

检测到密码喷洒
图片来源:集体

根据 CERT 的说明,以下措施最初可能有助于防止通过密码喷洒造成的数据泄露:

  • 使用多因素身份验证措施在黑客和您的帐户之间添加一层额外的防火墙。
  • 使用复杂的密码,并确保企业的 IT 团队审查密码设置策略,以防止任何密码喷洒事件。
  • 定期更换密码。 即使更改分钟细节也有助于防止密码喷洒违规。
  • 避免远程访问企业帐户。 确保只有有限数量的帐户门户可以远程访问。

另请阅读:令人震惊的网络安全事实和统计数据

与蛮力相比,密码喷射是一种较慢的技术,对于黑客来说,它使任何数据泄露的可能性更小。 但是,由于多个组织通过密码喷涂攻击,黑客可能会制定策略来提高其能力,因此,如果在早期阶段本身就解决这个问题会更好。