Popis útoků založených na ověřování

  • 4 min

K útokům na ověřování dochází, když se někdo pokusí ukrást přihlašovací údaje jiného uživatele. Pak mohou předstírat, že je to osoba. Vzhledem k tomu, že cílem těchto typů útoků je zosobnit legitimního uživatele, můžou se také často označovat jako útoky na identitu. Mezi běžné útoky patří mimo jiné:

  • Útok hrubou silou
  • Útok slovníku
  • Vytváření obsahu přihlašovacích údajů
  • Keylogging
  • Sociální inženýrství

Útok hrubou silou

V útoku hrubou silou se zločinec pokusí získat přístup jednoduše pomocí různých kombinací uživatelských jmen a hesel. Útočníci obvykle mají nástroje, které tento proces automatizují pomocí milionů kombinací uživatelského jména a hesla. Jednoduchá hesla s jednofaktorovým ověřováním jsou ohrožená útoky hrubou silou.

Útok slovníku

Slovníkový útok je forma útoku hrubou silou, kde se používá slovník běžně používaných slov. Abyste zabránili útokům ve slovníku, je důležité v hesle používat symboly, čísla a více kombinací slov.

Vytváření obsahu přihlašovacích údajů

Vytváření obsahu přihlašovacích údajů je metoda útoku, která využívá skutečnost, že mnoho lidí používá stejné uživatelské jméno a heslo na mnoha webech. Útočníci budou používat odcizené přihlašovací údaje, obvykle získané po porušení zabezpečení dat na jedné lokalitě, aby se pokusili o přístup k jiným oblastem. Útočníci obvykle k automatizaci tohoto procesu používají softwarové nástroje. Aby se zabránilo nacpání přihlašovacích údajů, je důležité hesla opakovaně používat a pravidelně je měnit, zejména po porušení zabezpečení.

Keylogging

Keylogging zahrnuje škodlivý software, který protokoluje stisknutí kláves. Pomocí nástroje pro protokolování klíčů může útočník protokolovat (ukrást) kombinace uživatelského jména a hesla, které se pak dají použít pro útoky nacpání přihlašovacích údajů. Jedná se o běžný útok na internetové kavárny nebo kdekoli, kde používáte sdílený počítač pro přístup. Abyste zabránili vytváření protokolu klíčů, nenainstalujte nedůvěryhodný software a používejte důvěryhodný software pro kontrolu virů.

Keylogging není omezen pouze na počítače. Předpokládejme, že špatný aktér nainstaluje box nebo zařízení na čtečku karet a klávesnici na atm. Když kartu vložíte, projde nejprve čtečkou karet bad actors – před odesláním do čtečky karet atms zachytí podrobnosti o kartě. Když teď na špendlíku stisknete klávesovou klávesnici špatného herce, dostanou i váš pin kód.

Sociální inženýrství

Sociální inženýrství zahrnuje pokus, aby lidé odhalili informace nebo dokončili akci umožňující útok.

Většinaútokůch Útoky na sociální inženýrství se liší v tom, že zneužívají ohrožení zabezpečení lidí. Útočník se pokusí získat důvěru legitimního uživatele. Přesvědčí uživatele, aby zřetězil informace nebo podnikl akci, která mu umožní způsobit škody nebo ukrást informace.

K krádeži ověřování lze použít celou řadu technik sociálního inženýrství, mezi které patří:

  • Útok phishing nastane, když útočník pošle zdánlivě legitimní e-mail s cílem, aby uživatel odhalil své ověřovací přihlašovací údaje. Může se například zdát, že e-mail pochází z banky uživatele. Otevře se odkaz na to, co vypadá jako přihlašovací stránka banky, ale ve skutečnosti se jedná o falešný web. Když se uživatel přihlásí na falešném webu, zpřístupní se jeho přihlašovací údaje útočníkovi. Existuje několik variant útoku phishing, včetně spear-phishingu, který cílí na konkrétní organizace, firmy nebo jednotlivce.
  • Předtextování je metoda, kdy útočník získá důvěru oběti a přesvědčí ho, aby zřetědil zabezpečené informace. To se pak dá použít k krádeži jejich identity. Hacker vám může například zavolat, předstírat, že je z banky, a požádat o ověření vaší identity heslo. Jiný přístup používá sociální média. Můžete být požádáni o dokončení průzkumu nebo kvízu, kde se ptali zdánlivě náhodných a nevinných otázek, které vás dostanou k odhalení osobních faktů, nebo dostanete něco, co vypadá zábavně, jako je vytvoření jména vaší fantazie pop-hvězdy pomocí jména vašeho prvního domácího mazlíčka a místa, kde jste se narodili.
  • Návnada je forma útoku, kde zločinec nabízí falešnou odměnu nebo cenu, aby se oběť povzbuzovala k vyzrazení zabezpečených informací.

Jiné metody útoku na základě ověřování

Toto je jen několik příkladů útoků založených na ověřování. Existuje vždy potenciál pro nové typy útoků, ale všechny uvedené tady mohou být znemožněné vzděláváním lidí a používáním vícefaktorového ověřování.