Password spraying – co to za atak? Jak zagraża firmie?
Password spraying to mało wyrafinowany technicznie, a jednocześnie bardzo skuteczny atak, którego celem jest przejęcie dostępu do dowolnego konta, profilu czy firmowej lub domowej sieci. Siłą napędową ataku są niewystarczająco silne i nieunikalne hasła, używane masowo przez nieświadomych użytkowników Internetu, oraz działanie hakerów na dużą skalę. Według badania NordPass z 2020 roku większość użytkowników sieci posiada 70–80 profili lub kont wymagających ochrony hasłem.
Oszuści wykorzystujący tę metodę ustalają najpierw nazwy użytkowników (co w przypadku skrzynek e-mail i innych aplikacji jest powszechnie dostępną informacją), a następnie próbują zalogować się do wskazanych kont, używając popularnych, statystycznie często występujących haseł (w sieci można znaleźć gotowe listy popularnych haseł udostępniane ku przestrodze przez branżowe portale).
Haker nie próbuje złamać dostępu tylko do jednego konta, wykonując wiele prób z rzędu. Takie działanie bardzo szybko doprowadziłoby bowiem do zablokowania profilu (zazwyczaj wystarczy 3–5 prób) i powiadomienia właściciela. Oszuści wypróbowują hasła na kolejnych kontach, co nie wzbudza podejrzeń systemów zabezpieczających i naśladuje naturalne „pomyłki” podczas wpisywania haseł (przez takie działanie metoda ta jest często określana terminem low-and-slow). Do włamania się potrzebne są tysiące prób logowania, dlatego przestępcy nierzadko wykorzystują do tego celu botnet – zainfekowane komputery-zombie, nieświadomie działające w obrębie jednej sieci (tak samo jak w przypadku ataków typu DDoS).
Na takie ataki narażone są szczególnie aplikacje jednokrotnego logowania (np. oparte na protokołach federacyjnych), umożliwiające logowanie na przykład jeden raz na każdą sesję.
Password spraying jest często mylony z atakiem typu credential stuffing. W tym drugim metodyka jest jednak nieco inna: oszuści wykorzystują pozyskane nielegalnie dane dostępowe (login, hasło) i próbują logować się za ich pomocą na różnych platformach. Różnica polega więc na tym, że przestępca wykorzystujący atak password spraying nie zna prawdziwych danych uwierzytelniających, ale próbuje je odgadnąć. Obie metody są rodzajem ataków typu brute-force, czyli prób siłowego złamania haseł bez użycia szczególnych środków technicznych.
Co zrobić, jeśli atak password spraying już wystąpił?
Atak typu password spraying jest trudny do wykrycia. Przestępcy stosujący tę metodę działają niespiesznie i starają się nie zablokować kolejnych prób logowania. O wystąpieniu ataku mogą świadczyć ostrzeżenia płynące z systemów zabezpieczających oraz bezpośrednio ze skrzynek e-mail i portali, mówiące o występujących próbach logowania z nietypowych lokalizacji. W skrajnych przypadkach możliwe jest zablokowanie dostępu do konta (poprzez wprowadzenie zbyt wielu niepoprawnych haseł).
W przypadku otrzymania informacji o próbie logowania należy upewnić się, że ustawione hasło jest silne i unikalne, a w razie potrzeby zmienić je na inne. Gdy dostęp do konta został przejęty przez oszusta, trzeba przede wszystkim poinformować o tym administratora. Jeśli przejęte konto było powiązane ze środkami finansowymi, trzeba koniecznie zablokować możliwość dysponowania nimi.
Oszust, który uzyska dostęp do skrzynki e-mail, może dalej zmienić hasła do ważnych aplikacji oraz usług i spowodować olbrzymie szkody finansowe (robiąc zakupy na platformie, w której użytkownik pozostawił dane karty płatniczej, obciążając salda usług tzw. odroczonych płatności itp.). W przypadku adresów firmowych haker może także zyskać dostęp do firmowych zasobów i wykraść dane lub zwyczajnie dokonać zniszczeń w firmowej infrastrukturze.
Jak nie dopuścić do password sprayingu?
Password spraying to atak, który może mieć poważne konsekwencje. Istnieją jednak sposoby, które pozwolą zachować niemal stuprocentowe bezpieczeństwo przed tym zagrożeniem. Najważniejsze jest rozwijanie wśród pracowników świadomości możliwych zagrożeń. Dziedzina security awareness rozwija się bardzo szybko, a firmy, które położyły nacisk na ten obszar, notują wzrost odporności na ataki i błędy ludzkie. Ważne, by odpowiednie przeszkolenie zapewnić każdemu pracownikowi mającemu dostęp do sieci w obrębie firmy. Przydatna jest także jasno zdefiniowana polityka bezpieczeństwa.
- Konieczne jest używanie unikalnych, silnych haseł, niewykorzystywanych w innych kontach. Warto w tym przypadku wspierać się dostępnymi na rynku i zaufanymi menedżerami haseł. Ważna jest także okresowa zmiana danych dostępowych. Administrator może ponadto wyłączyć możliwość ustawiania powszechnie znanych haseł, bazując na ogólnodostępnych bazach.
- Warto także korzystać z uwierzytelniania dwuskładnikowego i CAPTCHA.
- Nieodzowne jest korzystanie z dostępnych rozwiązań technicznych: kompleksowej ochrony zapewnianej przez nowoczesne urządzenia klasy UTM, jak Netia Managed UTM, i zapór sieciowych nowej generacji, filtrujących ruch w obrębie sieci.
- Kluczowa jest ochrona poczty elektronicznej – to często najbardziej wrażliwy punkt całej sieci. Uzyskanie dostępu do pracowniczej skrzynki daje możliwość zmiany hasła i logowania się do innych usług oraz aplikacji. Zdecydowanie warto postawić na dedykowane narzędzia, które oprócz standardowego filtrowania ruchu będą także korzystać z baz reputacji adresów oraz analizować załączniki (opcjonalnie również treść załączników tekstowych). Jednym z dostępnych rozwiązań jest Netia Ochrona Poczty – wysokodostępna i wydajna kosztowo usługa konfigurowana na miarę potrzeb.
- W celu zapewnienia firmie najlepszej i kompleksowej ochrony, warto skorzystać z oferty Netia SOC i pomocy zespołu doświadczonych specjalistów od cyberbezpieczeństwa. Rolą tego zespołu jest m.in. monitorowanie poprawności logowania do sieci firmowej i zgłaszanie prób logowania przez nieuprawnione osoby.
Chcesz mieć większą wiedzę na temat ataków cybernetycznych na użytkowników indywidualnych? Poznaj, czym jest robak komputerowy, cybersquatting, ransomware oraz deepfake.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105