Angreb med password spraying

Hvad er password spraying?

Password spraying er en form for brute force-angreb, hvor hackerne prøver den samme adgangskode på flere forskellige konti, før de går videre til de næste. Sprayangreb er ofte ganske effektive, fordi mange brugere benytter simple adgangskoder, der er lette at gætte, som "password", "123456" og så videre.

Mange organisationer blokerer brugerne efter et vist antal mislykkede loginforsøg. Fordi password spraying eller bare sprayangreb fx prøver én adgangskode på flere konti, undgår de typisk at blokere kontiene, når de forsøger at hacke en enkelt konto med masser af adgangskoder.

Et særligt træk ved password spraying – som ordet "spraying" netop antyder – er, at det angriber tusinder eller endda millioner af forskellige brugere på én gang, i stedet for bare én enkelt konto. Processen er ofte automatiseret og forløber over periode, så man sjældent opdager noget.

Sprayangreb sker ofte sted, når appen eller administratoren i en organisation bruger en fast adgangskode til alle nye brugere. ”Single sign-on” og cloud-baserede platforme kan være ekstra sårbare.

Selvom password spraying måske virker for enkelt ift. andre cyberangreb, bruger selv de mere avancerede forbryderorganisationer det. I 2022, udstedte US Cybersecurity & Infrastructure Security Agency (CISA) fx en advarsel om statssponsorerede cyberaktører, som angav flere forskellige taktikker, der blev brugt til at angribe netværk med - og password spraying var en af dem.

Hvordan fungerer password spraying?

Password spraying sker typisk sådan her:

Trin 1: Cybersvindlerne køber en liste med brugernavne eller laver bare deres egen

Når de går i gang med password spraying, starter hackerne ofte med at købe nogle lister med brugernavne – lister, som er stjålet fra diverse organisationer. Man mener, at der sådan cirka sælges 15 milliarder legitimationsoplysninger på det mørke internet.

Alternativt, opretter cybersvindlerne deres egen liste, der matcher de formater, som virksomhedens e-mailadresser bruger – som fx fornavn.efternavn@virksomhedsnavn.com – og henter en liste med medarbejdere fra LinkedIn eller andre offentlige kilder.

Forbryderne angriber nogle gange særlige medarbejdergrupper – som økonomi, administration eller topledelse – som oftere giver større udbytte. De går ofte efter virksomheder eller afdelinger, der bruger single sign-on (SSO) eller samlede godkendelsesprotokoller – altså muligheden for at logge ind på Facebook via adgangen fra Google – eller som ikke har implementeret multi-factor-autentificering.

Trin 2: Hackerne får fat i en liste med almindelige adgangskoder

Sprayangreb bruger lister med typiske adgangskoder eller standardadgangskoder. Det er relativt nemt at finde de mest almindelige adgangskoder – de ses i masser af årlige rapporter og undersøgelser. Wikipedia har endda en side, med de 10.000 mest almindelige adgangskoder. Forbryderne kan også lave deres egen research, når de forsøger at gætte adgangskoder – fx ved at bruge navn på sportsklubber eller kendte, lokale vartegn for organisationer, de angriber.

Trin 3: Cybersvindlerne tester kombinationer af brugernavne og adgangskoder

Når svindlerne først har en liste med brugernavne og adgangskoder, går de i gang med at teste dem, indtil de finder en kombination, der virker. Processen sker ofte automatisk, ved hjælp af særlige sprayværktøjer. Her bruger cybersvindlerne først én adgangskode med masser af brugernavne og gentager så processen med listens næste adgangskode. Dermed undgå de politikker eller IP-adresser, som begrænser eller blokerer loginforsøgene.

Konsekvenser af angreb med password spraying

Når angriberne først får adgang til konti, via et sprayangreb, håber de naturligvis, der ligger informationer, der er værdifulde og værd at stjæle. Eller at der findes tilladelser, som svækker organisationens sikkerhedsforanstaltninger yderligere, og dermed giver adgang til endnu mere følsomme data.

Når sprayangreb lykkes, kan de medføre store skade i organisationerne. For eksempel kan en hacker, der tilsyneladende bruger helt reelle legitimationsoplysninger, få adgang til konti med aktiver på og foretage uretmæssige køb. Hvis virksomheden ikke opdager, kan det medføre en større økonomisk byrde for den. Det kan sagtens tage flere måneder at komme over et cyberangreb.

Ud over at påvirke organisationens eller virksomhedens økonomi, kan sprayangrebet både bremse og forstyrre den daglige drift markant. Skadelige e-mails kan reducere produktiviteten for samtlige medarbejdere. Lykkes det hackerne at overtage virksomhedens konto, kan de fx stjæle fortrolige oplysninger, annullere køb eller ændre leveringsdatoer.

Dertil kommer skader på ry og rygte! Når virksomheder krænkes sådan, er der mindre sandsynlighed for, at kunderne tror på, at deres data faktisk er sikre hos den angrebne. Hackerne kan endda flytte dens forretning til at andet sted, og dermed forårsage yderligere skade.

Kontormedarbejdere ser på en computerskærm

Eksempel på password spraying

"Jeg blev bedt om at ændre min adgangskode, da min bank blev ramt af et sprayangreb. Forbryderne angreb bankens kunder med millioner af brugernavne og adgangskodekombinationer - og jeg var desværre bare én af dem."

Password spraying vs. brute force

Sprayangreb angriber masser af konti med nogle få, almindeligt anvendte adgangskoder. Omvendt prøver brute force-angreb at få uautoriseret adgang til én enkelt konto, ved at gætte adgangskoden – ofte ved at bruge enorme lister med mulige adgangskoder.

Med andre ord benytter brute force-angreb mange adgangskoder for hvert brugernavn. Sprayangreb anvender mange brugernavne kombineret med én adgangskode. Det er bare forskellige måder at angribe loginprocessen på.

Tegn på sprayangreb

Sprayangreb omfatter typisk hyppige, mislykkede loginforsøg på flere konti. Virksomheder kan fx registrere sprayangreb ved at gennemgå dens konti og applikationers logfiler for system- og loginfejl.

Generelt, er de vigtigste tegn på sprayangreb:

En større login-aktivitet inden for en kort periode.
En stigning i mislykkede loginforsøg fra aktive brugere.
Logins fra ikke-eksisterende eller inaktive konti.

Sådan forsvarer du dig mod sprayangreb

Du beskytter dig og din virksomhed mod sprayangreb vha. de følgende forholdsregler:

Anvend en stærk adgangskodepolitik

Når IT-afdelingen gennemtvinger brug af stærke adgangskoder, minimerer den faren for sprayangreb. Læs mere om hvordan du opretter en stærk adgangskode her.

Brug login-overvågning

IT-afdelingen bør også implementere overvågning af loginforsøg på flere konti, der stammer fra en enkelt vært og inden for en kort tidsperiode. Det er et klar tegn på sprayangreb.

Sørg for en stærk lockoutpolitik

En passende, lav tærskel i lockout-politikken på domæneniveau beskytter også mod sprayangreb. Tærsklen skal balancere mellem at være lav nok til at forhindre angriberne i flere adgangsforsøg i lockoutperioden. Men omvendt ikke så lav, at de reelle brugere låses ude af deres konti, bare på grund af simple fejl. Man bør også have en klar proces for at låse op for og nulstille verificerede brugere.

Brug en tilgang med nul tillid (zero trust)

En hjørnesten ifm. nul tillid er kun at give adgang til det og dem, der er absolut nødvendigt på et givet tidspunkt, for at fuldføre en given opgave. Implementering af nul tillid i en organisation bidrager markant til netværkets sikkerhed.

Undgå faste standarder for brugernavne

Undgå at vælge åbenlyse brugernavne, som fx mit.navn eller m.navn – som er de mest almindelige standarder for brugernavne – til alt andet end e-mail. Separate, ikke-standardiserede logins til ’single sign-on’ på kontiene er en gode måde at stoppe angriberne på.

Brug biometri

For at forhindre angriberne i at udnytte de potentielle svagheder ved alfanumeriske adgangskoder, kræver nogle organisationer i stedet et biometrisk login. Hvis personen ikke er til stede, kan angriberen ikke logge ind.

Hold øje med mønstre

Sørg for, at alle de sikkerhedsforanstaltninger, der benyttes, hurtigt identificerer mistænkelige loginmønstre, som fx mange brugere, der forsøger at logge ind samtidigt.

Det kan hjælpe at bruge en adgangskode-administrator

Adgangskoder er beregnet til at beskytte følsomme oplysninger mod forbrydere. Den moderne, gennemsnitlige bruger har desværre så mange adgangskoder, at det kan være svært at holde styr på alle sammen – især da alle logins bør være unikke.

For at huske det hele, begår nogle brugere den fejl at bruge indlysende koder eller koder, som er lette at gætte, og bruger ofte den samme adgangskode på flere konti. Det er netop de koder, der er sårbare over for sprayangreb.

Angribernes evner og værktøjer har udviklet sig massivt gennem de seneste år. Moderne computere gætter adgangskoderne langt hurtigere. Angriberne bruger også robotter til at angribe adgangskodernes databaser eller konti. De mestrer nye, specifikke teknikker og strategier, der lykkes langt oftere.

Individuelle brugere kan få stort udbytte af en adgangskodeadministrator, som Kaspersky Password Manager. Adgangskodeadministratorer kombinerer kodernes kompleksitet og længde og skaber ergo udgaver, der er svære at knække. Dermed undgår man besværet med at huske de forskellige logins. Ligesom den også kan tjekke, om de samme koder bruges flere forskellige steder. Det er en praktisk løsning for private, som genererer, administrere og gemmer alle de unikke legitimationsoplysninger.

Relaterede produkter: