密碼噴灑:黑客針對目標帳戶的新反向策略

已發表: 2019-04-18

黑客以使用蠻力攻擊技術劫持賬戶並進行身份盜竊和信息濫用以及從綜合銀行賬戶竊取資金而聞名。 很難想像,這些黑客使用成百上千的密碼組合來找到正確的密碼組合併滲透到目標帳戶進行身份盜用。 然而,網絡攻擊者現在已經找到了一種新的策略來針對帳戶並破壞企業和個人級別的數據安全。 這種技術是什麼,它對在線數據安全和身份保護構成什麼危險? 提前閱讀以找出答案。

必讀:用戶和企業的數據保護提示

密碼噴塗:逆轉蠻力

密碼噴灑逆轉蠻力
圖片來源:雷德蒙德雜誌

密碼噴射是一種攻擊類型,入侵者或黑客在多個登錄名和用戶名上嘗試密碼的單一組合。 這樣做是為了確保至少有一個目標用戶名被入侵,並且用戶的信息被盜以進行進一步的不當行為。

密碼噴灑與暴力破解有何不同?

密碼噴灑與暴力破解不同
圖片來源:ThreatPost

在 Brute Force 中,攻擊者在用戶名上嘗試多個密碼組合,以破壞該帳戶以進行身份盜竊或在線搶劫。 但是,現在,如果在有限數量的實例中使用錯誤密碼進行登錄嘗試,系統已被設計為啟動鎖定。 這可以確保黑客不會越過安全性並偏離目標任何帳戶。

但是,這裡的整個過程是相反的。 攻擊者現在通過網絡釣魚攻擊或審查社交資料獲得多個用戶名的詳細信息。 然後他們採用一個非常常見的密碼組合,然後在所有購買的用戶名上運行它,希望他們至少能通過其中任何一個。

密碼噴射攻擊是如何進行的?

密碼噴射攻擊
圖片來源:卡巴斯基實驗室
  • 首先,攻擊者使用網絡釣魚或社交工程來獲取盡可能多的用戶名。 在網絡釣魚中,攻擊者試圖通過誘使他們使用一些惡意廣告技巧來收集用戶數據。 在社會工程中,黑客會通過公司網站、LinkedIn 和 Twitter 等社交媒體平台以及其他投資組合出版物。
密碼組合
圖片來源:盧森堡麥芽汁
  • 密碼組合取決於基本的人類傾向,他們在密碼中使用“12345”等數字組合以及“下劃線(_)”“速率(@)”等常見特殊字符。
密碼組合 - 密碼噴灑黑客
圖片來源:WTSCI
  • 然後在所有用戶名上嘗試該組合。 很有可能其中至少有一個會成為這種策略的犧牲品,並且會因黑客濫用和非法行為而被竊取信息和個人詳細信息。

對企業的真正威脅

對企業的真正威脅
圖片來源:數字取證組

與個人帳戶相比,對於企業而言,密碼噴塗更危險。 在幾乎每個大中型企業中,電子郵件 ID 和用戶名都在企業名稱的域下。 例如,在 Google,所有員工都有一個電子郵件 ID,後跟@google.com。 用戶名組合也很常見,例如[email protected]

編號系列和企業名稱
圖片來源:VooServers

在這種情況下,黑客可能會嘗試使用包含數字序列和企業名稱的密碼組合。 即使其中一個帳戶被黑客入侵,黑客也可以通過訪問私人電子郵件和共享數據文件來獲取其他人的信息。 這不僅會使企業損失員工的信息,還會損失他們的機密文件和合同通信細節。 現在,這些細節可能會損害財務狀況良好的企業,也可能會損害其在市場上的形象。

密碼噴灑對黑客來說是否成功?

Citrix - 美國雲計算和網絡服務提供商
圖片:技術總部

近日,美國雲計算和網絡服務提供商 Citrix Inc. 遭到劫機者使用密碼噴射技術的攻擊。 儘管思傑的早期偵查和聯邦調查局(FBI)對該案的介入使其免於重大信息損失,但也促使FBI對此問題展開專項調查,並向美國所有企業發布警告聲明。 甚至 CERT 也發布了一份關於黑客使用的密碼噴灑方法能力的報告。 聯邦調查局還報告說,歐洲和美國的 36 家企業已經面臨通過密碼噴灑策略的數據洩露嘗試。

因此,很明顯該技術對黑客來說是可行的,並且有必要承認它的威脅潛力。

如何檢測密碼噴灑?

檢測到密碼噴灑
圖片來源:集體

根據 CERT 的說明,以下措施最初可能有助於防止通過密碼噴灑造成的數據洩露:

  • 使用多因素身份驗證措施在黑客和您的帳戶之間添加一層額外的防火牆。
  • 使用複雜的密碼,並確保企業的 IT 團隊審查密碼設置策略,以防止任何密碼噴灑事件。
  • 定期更換密碼。 即使更改分鐘細節也有助於防止密碼噴灑違規。
  • 避免遠程訪問企業帳戶。 確保只有有限數量的帳戶門戶可以遠程訪問。

另請閱讀:令人震驚的網絡安全事實和統計數據

與蠻力相比,密碼噴射是一種較慢的技術,對於黑客來說,它使任何數據洩露的可能性更小。 但是,由於多個組織通過密碼噴塗攻擊,黑客可能會制定策略來提高其能力,因此,如果在早期階段本身就解決這個問題會更好。