Opisywanie ataków opartych na uwierzytelnianiu

  • 4 min

Ataki uwierzytelniania występują, gdy ktoś próbuje ukraść poświadczenia innej osoby. Następnie mogą udawać, że jest to osoba. Ponieważ celem tych typów ataków jest personifikacja uprawnionego użytkownika, często mogą być one nazywane atakami na tożsamości. Typowe ataki obejmują, ale nie są ograniczone do:

  • Atak siłowy
  • Atak słownikowy
  • Wypychanie poświadczeń
  • Rejestrowanie kluczy
  • Inżynieria społeczna

Atak siłowy

W ataku siłowym przestępca spróbuje uzyskać dostęp po prostu, próbując próbować różnych nazw użytkowników i kombinacji haseł. Zazwyczaj osoby atakujące mają narzędzia automatyzujące ten proces przy użyciu milionów kombinacji nazwy użytkownika i hasła. Proste hasła z uwierzytelnianiem jednoskładnikowym są podatne na ataki siłowe.

Atak słownikowy

Atak słownikowy jest formą ataku siłowego, w którym stosowany jest słownik często używanych słów. Aby zapobiec atakom słownikowym, ważne jest użycie symboli, liczb i wielu kombinacji wyrazów w haśle.

Wypychanie poświadczeń

Wypychanie poświadczeń to metoda ataku, która wykorzystuje fakt, że wiele osób używa tej samej nazwy użytkownika i hasła w wielu witrynach. Osoby atakujące będą używać skradzionych poświadczeń, zwykle uzyskanych po naruszeniu danych w jednej witrynie, aby spróbować uzyskać dostęp do innych obszarów. Osoby atakujące zazwyczaj używają narzędzi oprogramowania do automatyzowania tego procesu. Aby zapobiec wypychaniu poświadczeń, ważne jest, aby nie używać ponownie haseł i regularnie je zmieniać, szczególnie po naruszeniu zabezpieczeń.

Rejestrowanie kluczy

Rejestrowanie kluczy obejmuje złośliwe oprogramowanie, które rejestruje naciśnięcia. Korzystając z rejestratora kluczy, osoba atakująca może rejestrować (ukraść) kombinacje nazwy użytkownika i hasła, które następnie mogą być używane do ataków na wypychanie poświadczeń. Jest to typowy atak w kawiarniach internetowych lub w dowolnym miejscu, w którym komputer udostępniony jest używany do uzyskania dostępu. Aby zapobiec rejestrowaniu kluczy, nie instaluj niezaufanego oprogramowania i nie używaj wiarygodnego oprogramowania antywirusowego.

Rejestrowanie kluczy nie jest ograniczone tylko do komputerów. Załóżmy, że zły aktor instaluje pudełko lub urządzenie za pośrednictwem czytnika kart i klawiatury w bankomatie. Po wstawieniu karty przechodzi najpierw przez czytnik kart złych aktorów — przechwytywanie szczegółów karty przed przekazaniem jej do czytnika kart bankomatów. Teraz, gdy klucz w numerze PIN jest używany przy użyciu klawiatury złego aktora, otrzymuje również numer PIN.

Inżynieria społeczna

Inżynieria społeczna polega na próbie ujawnienia informacji lub wykonania akcji w celu umożliwienia ataku.

Większość ataków uwierzytelniania obejmuje wykorzystanie komputerów lub próbę wypróbowania wielu kombinacji poświadczeń. Ataki inżynierii społecznej różnią się w tym, że wykorzystują luki w zabezpieczeniach ludzi. Osoba atakująca próbuje uzyskać zaufanie uprawnionego użytkownika. Przekonają użytkownika do ujawnienia informacji lub podjęcia działań, które umożliwiają im spowodowanie uszkodzenia lub kradzieży informacji.

Do kradzieży uwierzytelniania można użyć wielu technik inżynierii społecznej, w tym:

  • Wyłudzanie informacji występuje, gdy osoba atakująca wysyła pozornie legalną wiadomość e-mail z celem ujawnienia poświadczeń uwierzytelniania przez użytkownika. Na przykład wiadomość e-mail może wydawać się pochodzić z banku użytkownika. Zostanie otwarty link do tego, co wygląda jak strona logowania banku, ale jest w rzeczywistości fałszywą witryną. Gdy użytkownik zaloguje się w fałszywej witrynie, jego poświadczenia staną się dostępne dla osoby atakującej. Istnieje kilka odmian wyłudzania informacji, w tym spear-phishing, które dotyczą określonych organizacji, firm lub osób fizycznych.
  • Pretexting to metoda, w której atakujący zyskuje zaufanie ofiary i przekona ich do ujawnienia bezpiecznych informacji. Następnie może służyć do kradzieży tożsamości. Na przykład haker może zadzwonić do Ciebie, udając, że pochodzi z banku, i poprosić o hasło w celu zweryfikowania tożsamości. Innym podejściem jest użycie mediów społecznościowych. Możesz zostać poproszony o ukończenie ankiety lub quizu, gdzie zadali pozornie losowe i niewinne pytania, które pozwalają ujawnić osobiste fakty, lub dostaniesz coś, co wygląda dobrze, jak tworzenie nazwy zespołu pop-star fantasy przy użyciu nazwy pierwszego zwierzaka i miejsca, w którym się urodziłeś.
  • Baiting to forma ataku, w którym przestępca oferuje fałszywą nagrodę lub nagrodę, aby zachęcić ofiarę do ujawnienia bezpiecznych informacji.

Inne metody ataku oparte na uwierzytelnianiu

Oto kilka przykładów ataków opartych na uwierzytelnianiu. Zawsze istnieje potencjał nowych typów ataków, ale wszystkie wymienione tutaj mogą być blokowane przez edukowanie osób i korzystanie z uwierzytelniania wieloskładnikowego.