Mnogi kibernetički napadi počinju tako što napadači dobiju pristup vašoj mreži. Možda nisu dobrodošli, ali kibernetički kriminalci ne trebaju vaše dopuštenje za provalu.
S tehnikama kao što su napadi nabrajanjem, mogu promaknuti vašoj obrani. Na vama je da im otežate, ako ne i onemogućite. Što su zapravo napadi nabrajanjem? Kako rade? I kako ih možete spriječiti?
Što su napadi nabrajanjem?
Napadi nabrajanjem su tehnike hakiranja koje napadači koriste za dobivanje neovlaštenog pristupa sustavu pogađanjem korisničkih vjerodajnica za prijavu. A oblik napada grubom silom, haker isprobava razna korisnička imena i lozinke dok ne dobije točne kombinacije.
Kako funkcioniraju napadi nabrajanjem?
Prosječan sustav ima ugrađenu provjeru autentičnosti ili autorizaciju koju korisnici moraju proći da bi dobili pristup. To je često u obliku prozora za prijavu za postojeće korisnike, prozora za registraciju za nove korisnike za prijavu i kartice "Zaboravljena lozinka" za postojeće korisnike koji su možda zaboravili svoje lozinke.
Haker iskorištava gore navedene značajke za pokretanje enumeracijskih napada na sljedeće načine.
1. Pogađanje postojećih korisničkih imena grubom silom
U prvoj fazi enumeracijskog napada haker unosi bilo koje vjerodajnice za prijavu kako bi dobio povratnu informaciju od sustava. Na primjer, recimo Korisničko ime A postoji u bazi podataka vaše web aplikacije. Ako je napadač unese uz lozinku, dobit će obavijest da je lozinka koju su unijeli točna, ali lozinka nije. I ako Korisničko ime A nije u vašoj bazi podataka, dobit će obavijest da ni korisničko ime ni lozinka ne postoje.
Napadač ima za cilj dobiti što više valjanih korisničkih imena. Za svako nevažeće korisničko ime koje dobiju, grubom silom isprobavaju razne varijacije korisničkog imena.
Budući da korisnici weba obično stvaraju korisnička imena koja su ljudima poznata ili s kojima se mogu poistovjetiti, od mnogih varijacija korisničkih imena koje napadač unese u sustav, neke će biti valjane.
2. Uparivanje postojećih korisničkih imena s mogućim lozinkama
Pogoditi točno korisničko ime samo je pola posla. Da bi pristupili vašem sustavu, napadači također moraju dati ispravnu lozinku korisničkog imena. Koriste grubu silu kako bi generirali nekoliko varijacija lozinki, nadajući se da će pronaći podudaranje za svako korisničko ime.
3. Korištenje Credential Stuffing za pronalaženje valjanih korisničkih imena i lozinki
Napadači iskoristiti credential stuffing za izvođenje enumeracijskih napada korištenjem parova korisničkog imena i lozinke koje su ukrali iz drugih mreža za pristup vašoj mreži.
Korištenje istog korisničkog imena i zaporke na više od jedne web aplikacije je nezdravo i može vas izložiti višestrukim hakiranju. Ako vaše vjerodajnice za prijavu dospiju u pogrešne ruke, sve što moraju učiniti je isprobati ih na drugim web aplikacijama koje koristite.
Iako sve vjerodajnice za prijavu koje napadač dohvati s drugih web stranica možda nisu valjane, neke se pokažu valjanima, pogotovo jer neki ljudi ponavljaju isto korisničko ime i lozinku.
4. Korištenje društvenog inženjeringa za prikupljanje potpunih vjerodajnica za prijavu
Odlučan haker može iskoristiti društveni inženjering za izvođenje napada nabrajanjem. Kako? Nakon upotrebe grube sile za dobivanje valjanih korisničkih imena na web aplikaciji, ako ostali pokušaji dobivanja ispravnih lozinki za ta korisnička imena ne uspiju, oni mogu pribjeći društvenom inženjeringu kako bi dobili lozinke izravno od korisnika.
S valjanim korisničkim imenima pri ruci, haker bi mogao slati zlonamjerne poruke korisnicima putem e-pošte ili tekstualnih poruka, lažno se predstavljajući kao operateri platforme. Mogli bi prevariti korisnike da sami daju svoje lozinke. Takve se poruke mogu činiti legitimnim žrtvama koje ništa ne sumnjaju jer kibernetički kriminalac već ima njihova ispravna korisnička imena.
Kako možete spriječiti napade nabrajanjem?
Napadi nabrajanjem napreduju zahvaljujući odgovoru koji dobiju od web aplikacija kada se korisnici pokušaju prijaviti. Ako te informacije izuzmete iz jednadžbe, bit će ih teže izvršiti jer će kibernetički kriminalci imati malo ili nimalo informacija s kojima mogu raditi. Dakle, kako možete spriječiti te napade ili njihovu pojavu svesti na najmanju moguću mjeru?
1. Spriječite povratne informacije o prijavi s višefaktorskom autentifikacijom
Sve što napadač treba učiniti da bi znao valjanost korisničkog imena na web aplikaciji je unijeti bilo koje korisničko ime, a poslužitelj će mu dati informacije koje su mu potrebne. Lako ih možete spriječiti da imaju te podatke implementacija višefaktorske autentifikacije.
Kada korisnik, ili u ovom slučaju napadač, unese svoje vjerodajnice za prijavu za pristup vašoj aplikaciji, neka potvrdi svoj identitet na više načina, kao što je pružanje jednokratnih lozinki (OTP), kodova e-pošte ili pomoću aplikacija za autentifikaciju.
2. Smanjite pokušaje prijave uz CAPTCHA
Cyberkriminalci imaju slobodu pokrenuti napade nabrajanjem kada imaju neograničen broj pokušaja prijave. Rijetki su slučajevi da pogode točne parove korisničkog imena i lozinke uz samo nekoliko pokušaja prijave.
Implementirajte CAPTCHA da ih usporite i osujetite njihove napore. Budući da ne mogu automatski zaobići CAPTCHA, najvjerojatnije će biti frustrirani potvrdom da su ljudi nakon nekoliko pokušaja.
3. Usvojite ograničenje brzine za blokiranje više prijava
Akteri popisivača napreduju zahvaljujući višestrukim pokušajima prijave dostupnim na web aplikacijama. Mogli bi pogađati korisnička imena i lozinke cijeli dan dok ne nađu podudaranje.
Ako imate ograničenje brzine na svojoj mreži, mogu se pokušati prijaviti samo određeni broj puta. Ako ne uspiju u tim pokušajima, vaša mreža će blokirati njihove IP adrese ili korisnička imena.
Loša strana ograničenja stope je ta što utječe na legitimne korisnike koji se možda uistinu ne sjećaju svojih vjerodajnica za prijavu. To možete ublažiti pružanjem alternativa za takve korisnike da ponovno dobiju pristup.
4. Instalirajte vatrozid web aplikacije
Vatrozid web aplikacije je alat koji blokira višestruke pokušaje prijave sa zlonamjernih ili sumnjivih IP adresa. Radi sa skupom sigurnosnih standarda kako bi ispitao promet prema vašim mrežnim poslužiteljima, ispunjavajući navedene sigurnosne zahtjeve za HTTPS i SSL.
S postavljenim vatrozidom web aplikacije akteri popisivanja nemaju luksuz vremena za hakiranje vašeg sustava.
Osigurajte svoje vjerodajnice za prijavu kako biste spriječili napade nabrajanjem
Napadi nabrajanjem izazivaju zabrinutost oko pristupa mreži i upotrebljivosti. Htjeli biste da korisnici vaše mreže mogu dobiti pristup bez ikakvih problema. Ali pritom morate poduzeti mjere koje vašu mrežu neće izložiti kibernetičkim prijetnjama i napadima.
Nemojte sami sebi pucati u nogu pomažući cyber akterima svojim vjerodajnicama za prijavu na mrežu. Neka vam bude dužnost skrivati takve informacije koliko god možete. Ako to ne znaju, bit će u mraku gdje i zaslužuju biti.