Mnoho kybernetických útoků začíná tím, že útočníci získají přístup k vaší síti. Možná nejsou vítáni, ale kyberzločinci nepotřebují vaše povolení k vloupání.
Pomocí technik, jako jsou útoky na výčet, mohou proklouznout vaší obranou. Je na vás, abyste jim to ztížili, ne-li nemožné. Co jsou vlastně výčtové útoky? Jak fungují? A jak jim můžete zabránit?
Co jsou útoky na výčet?
Výčtové útoky jsou hackerské techniky, které útočníci používají k získání neoprávněného přístupu do systému hádáním přihlašovacích údajů uživatelů. A forma útoku hrubou silou, hacker zkouší různá uživatelská jména a hesla, dokud nezíská správné kombinace.
Jak útoky na výčet fungují?
Průměrný systém má vestavěnou autentizaci nebo autorizaci, kterou musí uživatelé podstoupit, aby získali přístup. To je často ve formě přihlašovacího okna pro stávající uživatele, registračního okna pro registraci nových uživatelů a karty „Zapomenuté heslo“ pro stávající uživatele, kteří možná zapomněli svá hesla.
Hacker využívá výše uvedené funkce ke spuštění výčtových útoků následujícími způsoby.
1. Hádání existujících uživatelských jmen hrubou silou
V první fázi enumeračního útoku hacker zadá jakékoli přihlašovací údaje, aby získal zpětnou vazbu od systému. Například, řekněme Uživatelské jméno A existuje v databázi vaší webové aplikace. Pokud jej útočník zadá spolu s heslem, obdrží upozornění, že zadané heslo je správné, ale heslo ne. A pokud Uživatelské jméno A není ve vaší databázi, obdrží upozornění, že uživatelské jméno ani heslo neexistuje.
Cílem útočníka je získat co nejvíce platných uživatelských jmen. Za každé neplatné uživatelské jméno, které získají, zkouší hrubou silou různé varianty uživatelského jména.
Vzhledem k tomu, že uživatelé webu obvykle vytvářejí uživatelská jména, která lidé znají nebo se k nim mohou vztahovat, z mnoha variant uživatelských jmen, které útočník zadá do systému, budou některá platná.
2. Spárování stávajících uživatelských jmen s možnými hesly
Správné uhodnutí uživatelského jména je jen polovina práce. Pro přístup k vašemu systému musí útočníci poskytnout také správné heslo uživatelského jména. Používají hrubou sílu ke generování několika variant hesel v naději, že najdou shodu pro každé uživatelské jméno.
3. Použití přihlašovacích údajů k nalezení platných uživatelských jmen a hesel
Útočníci pákový credential stuffing provádět výčtové útoky pomocí párů uživatelského jména a hesla, které ukradli z jiných sítí pro přístup k vaší síti.
Používání stejného uživatelského jména a hesla ve více než jedné webové aplikaci je nezdravé a může vás vystavit mnoha hackům. Pokud se vaše přihlašovací údaje dostanou do nesprávných rukou, stačí je vyzkoušet v jiných webových aplikacích, které používáte.
I když všechny přihlašovací údaje, které útočník získá z jiných webů, nemusí být platné, některé se ukáží jako platné, zvláště když někteří lidé opakují stejné uživatelské jméno a heslo.
4. Používání sociálního inženýrství ke shromažďování úplných přihlašovacích údajů
Odhodlaný hacker může využít sociální inženýrství k provedení enumeračního útoku. Jak? Po použití hrubé síly k získání platných uživatelských jmen ve webové aplikaci, pokud jiné snahy o získání správných hesel pro tato uživatelská jména selžou, mohou pro získání hesel se uchýlit k sociálnímu inženýrství přímo od uživatelů.
S platnými uživatelskými jmény by hacker mohl uživatelům posílat škodlivé zprávy prostřednictvím e-mailu nebo textových zpráv a vydávat se za provozovatele platformy. Mohli by oklamat uživatele, aby sami poskytli svá hesla. Takové zprávy se mohou nic netušícím obětem zdát legitimní, protože kyberzločinec již má jejich správná uživatelská jména.
Jak můžete zabránit útokům na výčet?
Výčtovým útokům se daří díky odpovědi, kterou dostávají od webových aplikací, když se uživatelé pokoušejí přihlásit. Pokud tyto informace vyjmete z rovnice, bude obtížnější je provést, protože kyberzločinci budou mít málo nebo žádné informace, se kterými by mohli pracovat. Jak tedy můžete těmto útokům zabránit nebo omezit jejich výskyt na minimum?
1. Zabraňte zpětné vazbě na přihlášení pomocí vícefaktorové autentizace
Jediné, co musí útočník udělat, aby poznal platnost uživatelského jména ve webové aplikaci, je zadat téměř libovolné uživatelské jméno a server mu poskytne potřebné informace. Můžete jim snadno zabránit v tom, aby měli tyto informace implementace vícefaktorové autentizace.
Když uživatel, nebo v tomto případě útočník, zadá své přihlašovací údaje pro přístup k vaší aplikaci, nechte je ověřit svou identitu několika způsoby, např. poskytování jednorázových hesel (OTP), e-mailové kódy nebo pomocí ověřovacích aplikací.
2. Snižte počet pokusů o přihlášení pomocí CAPTCHA
Kyberzločinci mají svobodu zahájit výčtové útoky, pokud mají neomezený počet pokusů o přihlášení. Málokdy se jim podaří uhodnout správné páry uživatelského jména a hesla na několik pokusů o přihlášení.
Implementujte CAPTCHA, abyste je zpomalili a zmařili jejich úsilí. Vzhledem k tomu, že nemohou automaticky obejít CAPTCHA, budou s největší pravděpodobností frustrováni ověřením, že jsou lidé po několika pokusech.
3. Přijměte omezení rychlosti pro blokování vícenásobných přihlášení
Aktéři výčtu prosperují díky vícenásobným pokusům o přihlášení dostupných ve webových aplikacích. Mohli hádat uživatelská jména a hesla celý den, dokud nenašli shodu.
Pokud máte ve své síti omezenou rychlost, mohou se pokusit přihlásit pouze určitý počet opakování. Pokud tyto pokusy neuspějí, vaše síť zablokuje jejich IP adresy nebo uživatelská jména.
Nevýhodou omezení sazeb je, že ovlivňuje legitimní uživatele, kteří si ve skutečnosti nemusí pamatovat své přihlašovací údaje. To můžete zmírnit tím, že takovým uživatelům poskytnete alternativy, jak znovu získat přístup.
4. Nainstalujte bránu firewall webové aplikace
Firewall webových aplikací je nástroj, který blokuje vícenásobné pokusy o přihlášení ze škodlivých nebo podezřelých IP adres. Pracuje se sadou bezpečnostních standardů a prověřuje provoz na vašich síťových serverech a splňuje nastíněné bezpečnostní požadavky HTTPS a SSL.
Se zavedeným firewallem webových aplikací nemají aktéři výčtu luxus času na hacknutí vašeho systému.
Zabezpečte své přihlašovací údaje, abyste zabránili útokům na výčet
Výčtové útoky vyvolávají obavy o přístup k síti a její použitelnost. Chtěli byste, aby uživatelé vaší sítě mohli získat přístup bez jakýchkoli potíží. Při tom však musíte přijmout opatření, která vaši síť nevystaví kybernetickým hrozbám a útokům.
Nestřílejte se do nohy tím, že budete kybernetickým aktérům pomáhat svými přihlašovacími údaji k síti. Udělejte si povinnost takové informace co nejvíce skrývat. Pokud to nebudou vědět, budou ve tmě tam, kde si zaslouží být.
