اسپری کردن رمزعبور یا پاشش رمز عبور حمله هدفمندی نیست، بلکه عامل مخربی است که با دسترسی به فهرستی از رمزهای عبور معمول یا دایرکتوری‌های فعال تلاش می‌شود تا به حساب‌ کاربری و سیستم دست یابند. تکرار رمزهای عبور رایج، برقراری ارتباط با صاحبان حساب از طریق ایمیل و نفوذ به درون شبکه از جمله روش‌های این حمله است.

به گزارش پیوست، حمله اسپری کردن رمزعبور یکی از روش‌های به‌خصوص دسترسی به اطلاعات کاربران و سازمان‌های مختلف است. این حمله به این دلیل که به‌صورت پیوسته و آهسته صورت می‌گیرد احتمال تشخیص را دشوار می‌کند. استفاده نکردن از رمزهای عبور ساده،انجام حملات شبیه‌سازی شده و فعالسازی احراز هویت چندعاملی و لغو ورود با وارد کردن رمز برای کاربران ثبات سیستم راهکارهای کاهش و جلوگیری از حمله اسپری کردن رمزعبور است.

اسپری کردن رمزعبور چیست؟
در حالی هر روز خبرهایی جدیدی از دنیای دیجیتال و خطرات امنیتی آن شنیده می‌شود، برخی از این تاکتیک‌های حملات سایبری به دلیل منحصر به‌فرد بودن آن نسبت به سایر حملات بیشتر جلب توجه می‌کند. اما یکی از تاکتیک‌های هک که توجه زیادی را به خود جلب کرده است، اسپری کردن رمز عبور است. حمله‌ای که در آن هکرها تعداد زیادی از رمز عبور را روی بسیاری از نام‌های کاربری اسپری می‌کنند تا به حساب‌ها دسترسی یابند.

گزارش تحقیقات مربوط به نقض داده‌ها در سال ۲۰۲۰ نشان داده است که بیش از ۸۰درصد نقض داده‌ها مرتبط با هک شامل اعتبارنامه‌های سرقت شده یا از دست رفته و حملات خشونت‌آمیز است. این آمار حملات اسپری رمزعبور را به یک نگرانی امنیتی تبدیل کرده است. در حالی که نمی‌توان از وقوع چنین حملاتی جلوگیری کرد، اما می‌توان آن‌ها را شناسایی و حتی در اواسط حمله آن را متوقف کرد.

اسپری کردن رمزعبور به عنوان یک تکنیک حمله با حجم بالا شناخته می‌شود که در آن هکرها چندین حساب کاربری را به وسیله تعداد زیادی از رمزهای عبور رایج برای دسترسی آزمایش می‌کنند. اسپری کردن رمزعبور با حملات brute force متفاوت است زیرا به جای هدف قرار دادن کاربران، دستگاه‌ها یا حساب‌های خاص مورد هدف قرار می‌گیرد. در این حمله، فرد مهاجم ابتدا با یک رمزعبور معمولی کار را شروع می‌کند. اگر اولین تلاش ناموفق بود، هکر سراغ رمزعبورهای دیگر می‌رود و تلاش‌های دیگری را برای اسپری کردن رمزعبور انجام می‌دهد.

از آنجا که هکرها سعی نمی‌کنند تا در یک بازه زمانی کوتاه وارد حساب‌ها شوند، به همین دلیل تلاش‌های ورود باعث قفل شدن حساب نمی‌شود. به همین علت است که حمله اسپری کردن رمزعبور به روش هک رمزعبور «کم و آهسته» نیز معروف است. هکرها به دنبال حفره‌های امنیتی آسان به شکل رمزهای عبور متداول هستند و به طور آهسته اما در طول زمان به صورت پیوسته آن‌ها را اسپری می‌کنند تا زمانی که بتوانند به آن دسترسی پیدا کنند.

هکرها هنگامی‌که توانستند به یک ماشین یا اکانت دسترسی پیدا کنند، سعی می‌کنند از طریق آن به سایر مناطق سیستم نفوذ کنند. به عنوان مثال، هکرها ممکن است که به درایو ابری کاربر وارد شوند و در آن به دنبال رمزهای عبور برای سایر حساب‌ها یا مجوزهای ادمین باشند. در حالی که ممکن است هکرها به هدف نهایی خود دست نیابند، اما درهای ورودی را برای انجام فعالیت‌های بیشتر و مخرب‌تر باز می‌کنند.

نکته کلیدی درباره اسپری کردن رمزعبور این است که حساب‌های کاربری با رمزهای عبور قدیمی ‌یا متداول دارای پیوندهای ضعیفی است و هکرها می‌توانند از آن‌ها برای دسترسی به شبکه استفاده کنند. متأسفانه، در اغلب موارد حملات اسپری کردن رمز عبور موفقیت‌آمیز است چرا که بسیاری از کاربران از رمزعبورهای قدرتمند استفاده نمی‌کنند.

برخی از TTP‌های (تاکتیک، تکنیک‌ها و فرآیندها) معمول که در اسپری کردن رمزعبور مورد استفاده قرار می‌گیرد شامل موارد زیر است:

انجام تحقیقات آنلاین و استفاده از تاکتیک‌های مهندسی اجتماعی برای هدف قرار دادن سازمان‌ها و حساب‌های کاربری خاص.
استفاده از رمزهای عبور معمول و قابل حدس برای شروع حمله اسپری کردن رمزعبور.
استفاده از حساب‌های غیرمجاز برای دسترسی به لیست‌های ایمیل بیشتر به منظور اجرای حمله برای حساب‌های بیشتر.
نفوذ به درون شبکه‌ها برای دزدیدن داده‌های ارزشمند.

مراحل اسپری کردن رمز عبور
در ابتدا مجرمان سایبری لیستی از نام‌های کاربری را خریداری یا اینکه لیست خود را ایجاد می‌کنند. برای شروع یک حمله اسپری رمز عبور، مجرمان سایبری ابتدا با خرید لیستی از نام‌های کاربری که از سازمان‌های مختلف به سرقت رفته است شروع می‌کنند. حدس زده می‌شود که بیش از ۱۵ میلیارد اعتبار برای فروش در وب تاریک وجود دارد.

مجرمان سایبری گاهی اوقات گروه‌های خاصی از کارمندان از جمله امور مالی و مدیران را هدف قرار می‌دهد چرا که اغلب رویکردهای هدفمند نتایج بهتری را در پی خواهد داشت. مجرمان سایبری اغلب شرکت‌ها یا بخش‌هایی را با استفاده از پروتکل‌های احراز هویت یکپارچه (SSO) یا احراز هویت چندعاملی مورد هدف قرار می‌دهد.

در مرحله دوم، مجرمان سایبری لیستی از رمزهای عبور متداول را به‌دست می‌آورند. حملات اسپری کردن رمز عبور شامل لیستی از رمزهای عبور رایج یا پیش‌فرض است. یافتن رایج‌ترین رمزهای عبور کار تقریباً ساده‌ای است. گزارش‌ها و تحقیقات مختلفی هر ساله لیستی از ساده‌ترین، متداول‌ترین و خطرناک‌ترین رمزهای عبور را منتشر می‌کنند. همچنین، مجرمان سایبری ممکن است تحقیقات خود را برای حدس زدن رمزهای عبور مختلف انجام دهند.

در مرحله آخر، مجرمان سایبری ترکیبات مختلفی از نام کاربری و رمز عبور را امتحان می‌کنند. هنگامی‌ که مجرمان سایبری فهرستی از نام‌های کاربری و رمزعبور را در اختیار دارند و با امتحان کردن ترکیبی آن‌ها در جست‌وجوی باز کردن قفل هستند. اغلب این فرآیند از طریق ابزارهای اسپری کردن رمزعبور خودکارسازی می‌شود. مجرمان سایبری از یک رمز عبور برای نام‌های کاربری متعددی استفاده می‌کنند و سپس این فرآیند را با رمزعبور بعدی در لیست تکرار می‌کنند تا از سیاست‌های قفل یا مسدودکننده‌های آدرس IP که تلاش‌های ورود را محدود می‌کنند جلوگیری کنند.

تأثیر اسپری کردن رمز عبور
هنگامی‌که مهاجم توانست از طریق حمله اسپری کردن رمزعبور به حساب دسترسی پیدا کند، به دنبال دسترسی به اطلاعات ارزشمند برای سرقت و تضعیف اقدامات امنیتی است.

این نوع از حمله در صورت موفقیت‌آمیز بودن می‌تواند آسیب قابل توجهی را به سازمان‌ها وارد کند. برای مثال، مهاجمی‌ که از اعتبار ظاهراً قانونی استفاده می‌کند، می‌تواند به حساب‌های مالی دسترسی پیدا کند تا خریدهای متقلبانه‌ای انجام دهد. در صورت تشخیص ندادن چنین حملاتی، ممکن است بار مالی زیاد به کسب‌وکار وارد شود.

اسپری کردن رمزعبور علاوه بر تاثیرگذاری بر امور مالی سازمان، می‌تواند به عملکرد روزانه سازمان اثر مخربی بر جای بگذارد. پراکنده شدن ایمیل‌های مخرب در سراسر شرکت می‌تواند بهره‌وری را کاهش دهد. همچنین، در صورت دسترسی فرد مهاجم به حساب تجاری می‌تواند اطلاعات خصوصی را سرقت، خریدها را لغو یا تاریخ تحویل خدمات را تغییر دهد.

ایجاد چنین تغییراتی باعث لطمه به اعتبار آن کسب‌وکار می‌شود و مشتریان اعتماد خود را در مورد ایمن بودن داده‌هایشان در آن سازمان از دست خواهند داد.

تفاوت حمله اسپری کردن رمزعبور با سایر حملات
امروزه مجرمان سایبری از طیف گسترده‌ای از حملات مبتنی بر رمزعبور برای دستیابی غیرمجاز به دستگاه‌ها، سیستم‌ها و شبکه‌ها استفاده می‌کنند. اما تفاوت بین آن‌ها برای بسیاری از خوانندگان جای سوال است. در این بخش به توضیح تفاوت‌های انواع حملات می‌پردازیم.

حملات Brute Force
حملات Brute Force به‌طور پیوسته از ترکیب هزاران رمزعبور برای ورود به یک حساب یا دستگاه استفاده می‌کند. سار و کار اسپری کردن رمزعبور مبتنی بر استفاده از یک رمزعبور برای چند حساب یا سیستم است. حملات Brute Force می‌تواند حتی با رم عبورهای پیچیده نیز اتفاق بیفتد. در کل، فرآیند حمله Brute Force پیچیده‌تر از حمله اسپری کردن رمز عبور است.

حملات Keylogger
در این نوع حمله، هکرها با نظارت بر کلیدهای فیزیکی روی کامپیوتر کاربر، سعی در به‌دست آوردن رمز عبور کاربر دارد. این نوع حمله، معمولاً با نصب بدافزار روی دستگاه بدون اطلاع کاربر انجام می‌شود. این امر از طریق دستگاه‌های نظارت سخت‌افزار فیزیکی نیز می‌تواند صورت بگیرد. در حالی که حمله اسپری کردن رمزعبور منطبق بر حدس و گمان است، حملات keylogging سعی در پی بردن به رمزعبور دقیق کاربر هنگام تایپ کردن آن دارد.

حمله پر کردن اعتبارنامه (Credential Stuffing)
در حمله پر کردن اعتبارنامه، هکرها به لیستی از حساب‌های در معرض خطر یا اعتبارنامه‌های هک‌های قبلی دسترسی پیدا می‌کنند. این اعتبارنامه‌ها را می‌توان در وب تاریک یا در میان حلقه‌های هکرها یافت یا خریداری کرد. در ادامه هکرها از طریق رویکرد brute force شروع به حدس زدن رمزعبور حساب‌هایی می‌کنند که قبلاً مورد نفوذ واقع شده‌ است. در روش اسپری کردن رمزعبور تمام حساب‌ها را بدون توجه به اینکه قبلاً مورد نفوذ واقع شده هدف قرار می‌دهد.

حمله فیشینگ (Phishing)
هکرها ممکن است سعی کنند تا رمزعبور کاربر را از طریق تعامل مستقیم با فرد دریافت کنند. فرد مهاجم ممکن است که هویت شخص ثالث یا خدمات قانونی را جعل کند و آن‌ها را با یک لینک به صفحه وب جعلی هدایت کند که در آن صفحه از کاربر خواسته می‌شود اعتبار رمزعبور خود مانند اطلاعات بانکی یا سایر خدمات را وارد کند. در مقابل اسپری کردن رمز عبور شامل هیچ تلاش فوری و آشکاری نیست، بلکه تمامی ‌فرآیند در پشت پرده و بدون اطلاع سازمان و کاربران صورت می‌گیرد.

رهگیری ترافیک
راه دیگری که هکرها از آن برای به‌دست آوردن رمزعبور استفاده می‌کند، نظارت بر داده‌ها و ترفیک از طریق شبکه وای‌فای است. در این نوع حمله پیام‌رسان‌ها یا ایمیل‌ها مورد هدف قرار می‌گیرد. فرد مهاجم تلاش می‌کند تا ارتباطات حاوی رمز عبور را بیابد. اتصالات وای‌فای ناامن که از رمزگذاری HTTP استفاده نمی‌کند، آسیب پذیر است. رهگیری ترافیک مستلزم هزینه و تلاش فنی بسیار زیادی است. به همین دلیل، اسپری کردن رمزعبور را به گزینه جذاب‌تری برای کارهای خرابکارانه تبدیل کرده است.

سه سیگنال تشخیص اسپری کردن رمز عبور
یکی از بهترین کارهایی که می‌توان برای جلوگیری از قربانی شدن در برابر حملات اسپری کردن رمزعبور انجام دهید، تشخیص صحیح آن است. در اینجا سه نشانه برای جست‌وجو وجود دارد که نشان می‌دهد سیستم و سازمان شما ممکن است در برابر این نوع حمله قرار گرفته باشد. این سه نشانه شامل موارد زیر است:

۱- افزایش ناگهانی ورودهای ناموفق
از آنجایی که اسپری کردن رمزعبور حساب‌های زیادی را در یک سازمان پوشش می‌دهد، تعداد زیاد تلاش‌های ناموفق برای ورود در یک بازه زمانی کوتاه یکی از نشانه‌های آن است.

۲- تعداد بالای حساب‌های قفل شده
اسپری کردن رمزعبور از طریق منتظر ماندن تا زمان تلاش برای ورود بعدی از وقفه جلوگیری می‌کند. با این حال، اگر تعداد غیرمعمولی حساب‌های قفل شده را مشاهده کردید، این می‌تواند نشانه‌ای از این باشد که هکرها یک بار حمله اسپری رمز عبور را شروع کرده‌اند، قفل شده و منتظر مانده‌اند تا به زودی دوباره تلاش کنند.

۳- تلاش‌های کاربر ناشناس یا نامعتبر
هکرهایی که اقدام به اسپری کردن رمز عبور می‌کنند به احتمال زیاد لیست دقیقی از اعتبار نام کاربری ندارند. آن‌ها این حساب‌ها را یا حدس زده‌اند یا یک لیست قدیمی‌ را به صورت آنلاین خریداری کرده‌اند. اگر نام‌های کاربری نامعتبری را مشاهده کردید که برای ورود به سیستم تلاش کرده‌اند این اتفاق را می‌توان نشانه‌ای از آغاز حمله دانست.

چند راهکار برای رفع حمله اسپری کردن رمزعبور
اگر موفق به شناسایی یک حمله اسپری کردن رمزعبور که در حال انجام است شدید، می‌توانید مراحل زیر را برای محافظت از حساب‌های آسیب‌پذیر و تقویت سیستم دفاعی سازمان خود در برابر تلاش‌های بعدی اسپری کردن رمز عبور انجام دهید.

۱- رمزهای عبور سازمانی را تغییر دهید
اولین کاری که باید انجام دهید این است که به همه کارمندان خود هشدار دهید که رمز عبور خودشان را تغییر دهند و مدام به‌روزرسانی کنند. به آن‌ها اطلاع دهید که از رمزهای عبور رایج یا عبارات و ترکیبات ساده استفاده نکنند. می‌توانید به آن‌ها دستورالعمل‌هایی را در مورد نحوه ایجاد رمزعبور قدرتمند و پیچیده بدهید یا اینکه یک ابزار تولید رمزعبور در اختیار آن‌ها قرار دهید.

۲- اجرای طرح واکنش به حوادث
هر شرکتی باید از قبل برنامه‌هایی برای طرح‌ریزی و واکنش به حوادث سایبری داشته باشد. اگر به حمله اسپری کردن رمز عبور مشکوک هستید، باید فوراً مراحلی را که از قبل مشخص کردید اجرا کنید. هنگامی‌ که احساس کردید حساب‌های کاربری شما ایمن است باید طرح را بررسی و بازرسی کنید تا مطمئن شوید که فعالیت‌های اصلاحی، حملات اسپری کردن رمز عبور را نیز شامل می‌شود.

۳- تنظیمات رمزعبور امنیتی را پیکربندی کنید
اگر سازمان شما از یک پلتفرم ثبت‌نام امنیتی استفاده می‌کند، مطمئن شوید که برای تشخیص یا شناسایی تلاش‌های ناموفق برای ورود به همه سیستم‌ها پیکربندی شده باشد. این به شما کمک می‌کند تا علائم آشکارساز حملات اسپری کردن رمزعبور را به سرعت تشخیص داده و همچنین با به‌دست آوردن اطلاعاتی درباره تمام فعالیت‌های ورود ناموفق، ظرفیت تحقیقات شما افزایش خواهد یافت.

۴- تضمین سیاست‌های قفل قوی
تعیین یک آستانه مناسب برای سیاست قفل‌گذاری در سطح دامنه، از حملات اسپری کردن رمزعبور محافظت می‌کند. این آستانه باید به نوعی طراحی شود تا از ورود مهاجمانی که چندین بار احراز هویت را انجام می‌دهند جلوگیری کند. در عین حال ورود کاربرانی را که دارای حساب‌های قانونی هستند با خطاهای ساده قفل نشود. همچنین، باید یک فرآیند ساده و روشن برای باز کردن و ریست کردن حساب کاربران تأیید شده در آن وجود داشته باشد.

۵- اتخاذ رویکرد اعتماد صفر
سنگ‌ بنای رویکرد صفر بر این است که فقط به هر آنچه که در یک زمان معین برای تکمیل کار نیاز است افراد دسترسی داشته باشند. پیاده‌سازی اعتماد صفر در یک سازمان می‌تواند سهم کلیدی در امنیت شبکه داشته باشد.

۶- استفاده از یک قرارداد نام کاربری غیر استاندارد
اجتناب از انتخاب نام‌های کاربری متداول مانند john.doe باید مورد توجه قرار بگیرد. لاگین‌های غیراستاندارد جداگانه برای یک «sign on» برای حساب‌ها یکی از راه‌های فرار از دست مهاجمان است.

۷- استفاده از بیومتریک
برای جلوگیری از سوءاستفاده مهاجمان از نقاظ ضعف احتمالی گذرواژه‌های الفبایی برخی از سازمان‌ها نیاز به لاگین بیومتریک دارند که بدون حضور شخص، مهاجم نمی‌تواند وارد حساب و سیستم آن‌ها شود.

۸- دقت و مراقبت از الگوها
اطمینان حاصل کنید که هرگونه تدابیر امنیتی در محل به‌سرعت می‌تواند الگوهای ورود مشکوک را شناسایی کند. مانند حجم زیادی از حساب‌ها که تلاش می‌کنند به طور همزمان وارد سیستم شوند.

به منظور جلوگیری از چنین حملاتی باید زیرساخت مناسبی را ایجاد کنید. از جمله این اقدامات شامل موارد زیر است:

۱- فعال کردن Active Directory Password Protection
بسیاری از سیستم‌ها مانند Microsoft Azure، به مدیران اجازه می‌دهد تا رمزهای عبور رایج یا آن مواردی که به راحتی حدس زده می‌شود را به‌طور کلی حذف کنند. اگر چنین گزینه‌ای را دارید باید آن را فعال کنید. با ممنوع کردن گذرواژه‌هایی که بیشتر مستعد حملات است از همان ابتدا شما اقدام به مقابله با هکرها خواهید کرد. همچنین می‌توانید فهرست سفارشی شده از گذرواژه‌هایی متداول که ممکن است به صنعت، شرکت یا منطقه خاص شما مرتبط باشد اضافه کنید.

۲- انجام حملات شبیه‌سازی شده یا Pen Testing
انجام یک حمله اسپری کردن رمزعبور شبیه‌سازی شده به اندازه‌گیری میزان آسیب‌پذیری سازمان شما کمک می‌کند. به عنوان نمونه، برخی از نرم‌افزارهای شبیه‌سازی حمله به شما امکان می‌دهد فهرستی از رمزهای عبور رایج را انتخاب کرده و تعداد کاربران شرکت شما را گزارش دهد. شبیه‌سازی حملات اسپری همچنین به شما امکان می‌دهد گذرواژه‌های مختلف منطقه یا صنعت خاصی را آزمایش کنید و تصمیم بگیرید که کدام یک باید در لیست ممنوعیت سفارشی شما قرار بگیرد.

۳- پیاده‌سازی دسترسی کاربر بدون رمزعبور
یکی از مهم‌ترین اقدامات پیشگیرانه در برابر اسپری کردن رمزعبور، حذف استفاده از رمزعبور در کسب‌وکار خودتان است. این به معنای پیاده‌سازی فناوری‌هایی مانند دسترسی کاربر بیومتریک یا فعال‌سازی صوتی است که امکان سرقت، کپی کردن یا ورود به آن برای هکرها بسیار سخت حواهد بود. حداقل اقدام پیشگیرانه این است که احراز هویت چندعاملی را فعال کنید تا تنها وارد کردن رمزعبور برای ورود به سیستم کافی نباشد.