Passord-spraying-angrep

Hva er et passord-spraying-angrep?

Passord-spraying er en type brute force-angrep der en ondsinnet aktør forsøker å bruke det samme passordet på flere kontoer før de går videre for å prøve et annet. Passord-spraying-angrep er ofte effektive fordi mange brukere bruker enkle passord som er lette å gjette, for eksempel «passord» eller «123456» osv.

I mange organisasjoner blir brukere låst ute etter et visst antall mislykkede påloggingsforsøk. Fordi passord-spraying-angrep innebærer å prøve ett passord mot flere kontoer, unngår de kontolåsinger som vanligvis oppstår når man bruker brute force mot en enkelt konto med mange passord.

En spesiell egenskap ved passord-spraying – som ordet «spraying» antyder – er at det kan rette seg mot tusenvis eller til og med millioner av forskjellige brukere samtidig, i stedet for bare én konto. Prosessen er ofte automatisert og kan skje over tid for å unngå å bli oppdaget.

Passord-spraying-angrep skjer ofte der applikasjonen eller administratoren innenfor en bestemt organisasjon angir et standardpassord for nye brukere. Enkel pålogging og skybaserte plattformer kan også vise seg å være spesielt sårbare.

Selv om passord-spraying kan virke enkelt sammenlignet med andre typer nettangrep, bruker til og med sofistikerte nettkriminelle grupper det. For eksempel sendte USAs nettsikkerhets- og infrastruktursikkerhetsbyrå (CISA) i 2022 ut en advarsel om statsstøttede nettaktører og listet opp ulike taktikker de bruker for å få tilgang til målrettede nettverk. Passord-spraying var én av dem.

Hvordan fungerer et passord-spraying-angrep?

Passord-spraying-angrep involverer vanligvis disse stadiene:

Trinn 1: Nettkriminelle kjøper en liste over brukernavn eller lager sin egen liste

For å starte et passord-spraying-angrep, begynner nettkriminelle ofte med å kjøpe lister over brukernavn – lister som er stjålet fra ulike organisasjoner. Det estimeres at det er over 15 milliarder påloggingsopplysninger til salgs på det mørke nettet.

Alternativt kan nettkriminelle lage sin egen liste ved å følge formatene som bedrifts-e-postadresser bruker – for eksempel firstname.lastname@companyname.com – og bruke en liste over ansatte som er hentet fra LinkedIn eller andre offentlige informasjonskilder.

Nettkriminelle retter av og til oppmerksomheten mot spesifikke grupper av ansatte, som økonomiavdelingen, administratorer eller ledelsen (C-suite), siden målrettede angrep kan gi bedre resultater. De retter ofte oppmerksomheten mot selskaper eller avdelinger som bruker enkel pålogging (SSO) eller godkjenningsprotokoller – for eksempel evnen til å logge inn på Facebook med Google-opplysninger – eller som ikke har implementert flerfaktorautentisering.

Trinn 2: Nettkriminelle skaffer seg en liste over vanlige passord

Passord-spraying-angrep inkluderer lister over vanlige eller standardpassord. Det er relativt enkelt å finne ut hva de mest vanlige passordene er – ulike rapporter eller studier publiserer dem hvert år, og Wikipedia har til og med en side som lister de 10 000 mest vanlige passordene. Nettkriminelle kan også utføre sin egen research for å gjette passord – for eksempel ved å bruke navnet på et idrettslag eller kjente landemerker som er lokale for en målrettet organisasjon.

Trinn 3: Nettkriminelle prøver forskjellige kombinasjoner av brukernavn og passord

Når nettkriminelle har en liste over brukernavn og passord, er målet å prøve dem til man finner en kombinasjon som fungerer. Ofte automatiseres prosessen med passord-spraying-verktøy. Nettkriminelle bruker ett passord for mange brukernavn, og gjentar deretter prosessen med det neste passordet på listen for å unngå å bli sperret av låste kontoer eller IP-adresseblokkeringer som begrenser påloggingsforsøk.

Følger av passord-spraying-angrep

Når en angriper får tilgang til en konto via et passord-spraying-angrep, håper de ofte at den inneholder verdifull informasjon som kan stjeles eller har tilstrekkelige tillatelser til å svekke organisasjonens sikkerhetstiltak ytterligere for å få tilgang til enda mer sensitiv data.

Passord-spraying-angrep, hvis de lykkes, kan forårsake betydelig skade for organisasjoner. For eksempel kan en angriper som bruker tilsynelatende legitime påloggingsopplysninger, få tilgang til økonomiske kontoer for å gjøre svindelkjøp. Hvis det ikke oppdages, kan dette bli en økonomisk byrde for den berørte virksomheten. Tiden for gjenopprettelse etter et nettangrep kan være opptil flere måneder eller mer.

I tillegg til å påvirke organisasjonens økonomi, kan passord-spraying betydelig bremse ned eller forstyrre den daglige driften. Ondsinnede e-poster til hele selskapet kan redusere produktiviteten. En overtakelse av en bedriftskonto av angriperen kan føre til tyveri av private opplysninger, kansellering av kjøp eller endring av leveringsdato for tjenester.

Og så er det skade på omdømmet – hvis en bedrift blir utsatt for brudd på denne måten, er det mindre sannsynlig at kunder vil stole på at deres data er trygge hos selskapet. De kan velge å flytte sin virksomhet til andre steder, noe som kan forårsake ytterligere skade.

Kolleger på et kontor som ser på en dataskjerm

Eksempel på passord-spraying

«Jeg ble bedt om å endre passordet mitt da banken min ble mål for et passord-spraying-angrep.» «Ondsinnede aktører kunne prøve millioner av kombinasjoner av brukernavn og passord mot bankens kunder – og dessverre var jeg en av dem.»

Passord-spraying vs. brute force

Et passord-spraying-angrep forsøker å få tilgang til et stort antall kontoer med noen få vanlige passord. I motsetning til dette forsøker brute force-angrep å få uautorisert tilgang til en enkelt konto ved å gjette passordet – ofte ved hjelp av store lister med potensielle passord.

Med andre ord innebærer brute force-angrep mange passordforsøk for hvert brukernavn. Passord-spraying innebærer mange brukernavn til ett passord. Det er forskjellige måter å utføre autentiseringsangrep på.

Tegn på et passord-spraying-angrep

Passord-spraying-angrep fører vanligvis til hyppige mislykkede autentiseringsforsøk på tvers av flere kontoer. Organisasjoner kan oppdage passord-spraying-aktivitet ved å gjennomgå autentiseringslogger for mislykkede system- og applikasjonspålogginger for gyldige kontoer.

Generelt er hovedtegnene på et passord-spraying-angrep:

Et høyt volum av påloggingsaktivitet innenfor en kort tidsperiode.
En økning i mislykkede påloggingsforsøk fra aktive brukere.
Påloggingsforsøk fra ikke-eksisterende eller inaktive brukere.

Slik forsvarer du deg mot passord-spraying-angrep

Organisasjoner kan beskytte seg mot passordsprøyteangrep ved å følge disse forholdsreglene:

Innfør en streng passordpolicy
Ved å kreve bruk av sterke passord kan IT-teamene minimere risikoen for passord-spraying-angrep. Du kan lese mer om å opprette sterke passord her.

Konfigurer påloggingsdeteksjon
IT-team bør også implementere deteksjon for påloggingsforsøk på flere kontoer som skjer fra en enkelt vertsadresse innenfor en kort tidsperiode – da dette er en tydelig indikator på passord-spraying-forsøk.

Sikre god praksis for sperring av konto
Å angi en passende terskel for sperring av konto på domenenivå er et godt forsvar mot passord-spraying-angrep. Terskelen må finne en balanse mellom å være lav nok til å hindre angripere fra å gjøre flere autentiseringsforsøk innenfor låseperioden, men ikke så lav at legitime brukere blir sperret ute fra kontoene sine på grunn av enkle feil. Det bør også være en tydelig prosess for å låse opp og tilbakestille verifiserte brukerkontoer.

Bruk en zero trust-tilnærming
En hjørnestein i zero trust-tilnærmingen er å gi tilgang til bare det som er nødvendig til enhver tid for å fullføre oppgaven som utføres. Implementeringen av zero trust innenfor en organisasjon er et viktig bidrag til nettverkssikkerheten.

Bruk ikke-standard brukernavn
Unngå å velge åpenbare brukernavn som john.doe eller jdoe – som er den vanligste formen for brukernavn – for noe annet enn e-post. Separate, ikke-standard påloggingsopplysninger for kontoer med enkelt pålogging er en annen måte å unngå angripere.

Bruk biometri
For å hindre at angripere utnytter potensielle svakheter ved alfanumeriske passord, krever noen organisasjoner biometrisk pålogging. Uten personen til stede kan ikke angriperen logge inn.

Se etter mønstre
Sørg for at eventuelle sikkerhetstiltak som er på plass, raskt kan identifisere mistenkelige påloggingsmønstre, for eksempel en stor mengde kontoer som forsøker å logge inn samtidig.

Bruk av en passordbehandler kan være til hjelp

Passord er ment å beskytte sensitive data fra uønskede aktører. I dag har den gjennomsnittlige brukeren imidlertid så mange passord at det kan være vanskelig å holde oversikt over dem alle – spesielt siden hvert sett med påloggingsopplysninger skal være unikt.

For å forsøke å holde oversikt, gjør noen brukere feilen med å bruke åpenbare passord som er enkle å gjette, og bruker ofte det samme passordet for flere kontoer. Dette er akkurat den typen passord som er sårbare for passord-spraying-angrep.

Angriperes evner og verktøy har utviklet seg betydelig de siste årene. Datamaskiner er mye raskere til å gjette passord i dag. Angripere bruker automatisering for å angripe passorddatabaser eller nettkontoer. De har mestret spesifikke teknikker og strategier som gir mer suksess.

For enkeltpersoner kan bruk av en passordbehandler, som Kaspersky Password Manager, være til hjelp. Passordbehandlere kombinerer kompleksitet og lengde for å tilby sterke passord som er vanskelige å knekke. De fjerner også byrden med å måtte huske ulike påloggingsopplysninger, og vil dessuten hjelpe med å sjekke om du bruker de samme passordet for ulike tjenester. De er en praktisk løsning for enkeltpersoner for å generere, administrere og lagre sine unike påloggingsopplysninger.

Relaterte produkter: