اسپری کردن رمزعبور چیست؟ چگونه از این حملات جلوگیری کنیم؟
اسپری کردن رمزعبور یا پاشش رمز عبور حمله هدفمندی نیست، بلکه عامل مخربی است که با دسترسی به فهرستی از رمزهای عبور معمول یا دایرکتوریهای فعال تلاش میشود تا به حساب کاربری و سیستم دست یابند. تکرار رمزهای عبور رایج، برقراری ارتباط با صاحبان حساب از طریق ایمیل و نفوذ به درون شبکه از جمله روشهای این حمله است.
به گزارش پیوست، حمله اسپری کردن رمزعبور یکی از روشهای بهخصوص دسترسی به اطلاعات کاربران و سازمانهای مختلف است. این حمله به این دلیل که بهصورت پیوسته و آهسته صورت میگیرد احتمال تشخیص را دشوار میکند. استفاده نکردن از رمزهای عبور ساده،انجام حملات شبیهسازی شده و فعالسازی احراز هویت چندعاملی و لغو ورود با وارد کردن رمز برای کاربران ثبات سیستم راهکارهای کاهش و جلوگیری از حمله اسپری کردن رمزعبور است.
اسپری کردن رمزعبور چیست؟
در حالی هر روز خبرهایی جدیدی از دنیای دیجیتال و خطرات امنیتی آن شنیده میشود، برخی از این تاکتیکهای حملات سایبری به دلیل منحصر بهفرد بودن آن نسبت به سایر حملات بیشتر جلب توجه میکند. اما یکی از تاکتیکهای هک که توجه زیادی را به خود جلب کرده است، اسپری کردن رمز عبور است. حملهای که در آن هکرها تعداد زیادی از رمز عبور را روی بسیاری از نامهای کاربری اسپری میکنند تا به حسابها دسترسی یابند.
گزارش تحقیقات مربوط به نقض دادهها در سال ۲۰۲۰ نشان داده است که بیش از ۸۰درصد نقض دادهها مرتبط با هک شامل اعتبارنامههای سرقت شده یا از دست رفته و حملات خشونتآمیز است. این آمار حملات اسپری رمزعبور را به یک نگرانی امنیتی تبدیل کرده است. در حالی که نمیتوان از وقوع چنین حملاتی جلوگیری کرد، اما میتوان آنها را شناسایی و حتی در اواسط حمله آن را متوقف کرد.
اسپری کردن رمزعبور به عنوان یک تکنیک حمله با حجم بالا شناخته میشود که در آن هکرها چندین حساب کاربری را به وسیله تعداد زیادی از رمزهای عبور رایج برای دسترسی آزمایش میکنند. اسپری کردن رمزعبور با حملات brute force متفاوت است زیرا به جای هدف قرار دادن کاربران، دستگاهها یا حسابهای خاص مورد هدف قرار میگیرد. در این حمله، فرد مهاجم ابتدا با یک رمزعبور معمولی کار را شروع میکند. اگر اولین تلاش ناموفق بود، هکر سراغ رمزعبورهای دیگر میرود و تلاشهای دیگری را برای اسپری کردن رمزعبور انجام میدهد.
از آنجا که هکرها سعی نمیکنند تا در یک بازه زمانی کوتاه وارد حسابها شوند، به همین دلیل تلاشهای ورود باعث قفل شدن حساب نمیشود. به همین علت است که حمله اسپری کردن رمزعبور به روش هک رمزعبور «کم و آهسته» نیز معروف است. هکرها به دنبال حفرههای امنیتی آسان به شکل رمزهای عبور متداول هستند و به طور آهسته اما در طول زمان به صورت پیوسته آنها را اسپری میکنند تا زمانی که بتوانند به آن دسترسی پیدا کنند.
هکرها هنگامیکه توانستند به یک ماشین یا اکانت دسترسی پیدا کنند، سعی میکنند از طریق آن به سایر مناطق سیستم نفوذ کنند. به عنوان مثال، هکرها ممکن است که به درایو ابری کاربر وارد شوند و در آن به دنبال رمزهای عبور برای سایر حسابها یا مجوزهای ادمین باشند. در حالی که ممکن است هکرها به هدف نهایی خود دست نیابند، اما درهای ورودی را برای انجام فعالیتهای بیشتر و مخربتر باز میکنند.
نکته کلیدی درباره اسپری کردن رمزعبور این است که حسابهای کاربری با رمزهای عبور قدیمی یا متداول دارای پیوندهای ضعیفی است و هکرها میتوانند از آنها برای دسترسی به شبکه استفاده کنند. متأسفانه، در اغلب موارد حملات اسپری کردن رمز عبور موفقیتآمیز است چرا که بسیاری از کاربران از رمزعبورهای قدرتمند استفاده نمیکنند.
برخی از TTPهای (تاکتیک، تکنیکها و فرآیندها) معمول که در اسپری کردن رمزعبور مورد استفاده قرار میگیرد شامل موارد زیر است:
انجام تحقیقات آنلاین و استفاده از تاکتیکهای مهندسی اجتماعی برای هدف قرار دادن سازمانها و حسابهای کاربری خاص.
استفاده از رمزهای عبور معمول و قابل حدس برای شروع حمله اسپری کردن رمزعبور.
استفاده از حسابهای غیرمجاز برای دسترسی به لیستهای ایمیل بیشتر به منظور اجرای حمله برای حسابهای بیشتر.
نفوذ به درون شبکهها برای دزدیدن دادههای ارزشمند.
مراحل اسپری کردن رمز عبور
در ابتدا مجرمان سایبری لیستی از نامهای کاربری را خریداری یا اینکه لیست خود را ایجاد میکنند. برای شروع یک حمله اسپری رمز عبور، مجرمان سایبری ابتدا با خرید لیستی از نامهای کاربری که از سازمانهای مختلف به سرقت رفته است شروع میکنند. حدس زده میشود که بیش از ۱۵ میلیارد اعتبار برای فروش در وب تاریک وجود دارد.
مجرمان سایبری گاهی اوقات گروههای خاصی از کارمندان از جمله امور مالی و مدیران را هدف قرار میدهد چرا که اغلب رویکردهای هدفمند نتایج بهتری را در پی خواهد داشت. مجرمان سایبری اغلب شرکتها یا بخشهایی را با استفاده از پروتکلهای احراز هویت یکپارچه (SSO) یا احراز هویت چندعاملی مورد هدف قرار میدهد.
در مرحله دوم، مجرمان سایبری لیستی از رمزهای عبور متداول را بهدست میآورند. حملات اسپری کردن رمز عبور شامل لیستی از رمزهای عبور رایج یا پیشفرض است. یافتن رایجترین رمزهای عبور کار تقریباً سادهای است. گزارشها و تحقیقات مختلفی هر ساله لیستی از سادهترین، متداولترین و خطرناکترین رمزهای عبور را منتشر میکنند. همچنین، مجرمان سایبری ممکن است تحقیقات خود را برای حدس زدن رمزهای عبور مختلف انجام دهند.
در مرحله آخر، مجرمان سایبری ترکیبات مختلفی از نام کاربری و رمز عبور را امتحان میکنند. هنگامی که مجرمان سایبری فهرستی از نامهای کاربری و رمزعبور را در اختیار دارند و با امتحان کردن ترکیبی آنها در جستوجوی باز کردن قفل هستند. اغلب این فرآیند از طریق ابزارهای اسپری کردن رمزعبور خودکارسازی میشود. مجرمان سایبری از یک رمز عبور برای نامهای کاربری متعددی استفاده میکنند و سپس این فرآیند را با رمزعبور بعدی در لیست تکرار میکنند تا از سیاستهای قفل یا مسدودکنندههای آدرس IP که تلاشهای ورود را محدود میکنند جلوگیری کنند.
تأثیر اسپری کردن رمز عبور
هنگامیکه مهاجم توانست از طریق حمله اسپری کردن رمزعبور به حساب دسترسی پیدا کند، به دنبال دسترسی به اطلاعات ارزشمند برای سرقت و تضعیف اقدامات امنیتی است.
این نوع از حمله در صورت موفقیتآمیز بودن میتواند آسیب قابل توجهی را به سازمانها وارد کند. برای مثال، مهاجمی که از اعتبار ظاهراً قانونی استفاده میکند، میتواند به حسابهای مالی دسترسی پیدا کند تا خریدهای متقلبانهای انجام دهد. در صورت تشخیص ندادن چنین حملاتی، ممکن است بار مالی زیاد به کسبوکار وارد شود.
اسپری کردن رمزعبور علاوه بر تاثیرگذاری بر امور مالی سازمان، میتواند به عملکرد روزانه سازمان اثر مخربی بر جای بگذارد. پراکنده شدن ایمیلهای مخرب در سراسر شرکت میتواند بهرهوری را کاهش دهد. همچنین، در صورت دسترسی فرد مهاجم به حساب تجاری میتواند اطلاعات خصوصی را سرقت، خریدها را لغو یا تاریخ تحویل خدمات را تغییر دهد.
ایجاد چنین تغییراتی باعث لطمه به اعتبار آن کسبوکار میشود و مشتریان اعتماد خود را در مورد ایمن بودن دادههایشان در آن سازمان از دست خواهند داد.
تفاوت حمله اسپری کردن رمزعبور با سایر حملات
امروزه مجرمان سایبری از طیف گستردهای از حملات مبتنی بر رمزعبور برای دستیابی غیرمجاز به دستگاهها، سیستمها و شبکهها استفاده میکنند. اما تفاوت بین آنها برای بسیاری از خوانندگان جای سوال است. در این بخش به توضیح تفاوتهای انواع حملات میپردازیم.
حملات Brute Force
حملات Brute Force بهطور پیوسته از ترکیب هزاران رمزعبور برای ورود به یک حساب یا دستگاه استفاده میکند. سار و کار اسپری کردن رمزعبور مبتنی بر استفاده از یک رمزعبور برای چند حساب یا سیستم است. حملات Brute Force میتواند حتی با رم عبورهای پیچیده نیز اتفاق بیفتد. در کل، فرآیند حمله Brute Force پیچیدهتر از حمله اسپری کردن رمز عبور است.
حملات Keylogger
در این نوع حمله، هکرها با نظارت بر کلیدهای فیزیکی روی کامپیوتر کاربر، سعی در بهدست آوردن رمز عبور کاربر دارد. این نوع حمله، معمولاً با نصب بدافزار روی دستگاه بدون اطلاع کاربر انجام میشود. این امر از طریق دستگاههای نظارت سختافزار فیزیکی نیز میتواند صورت بگیرد. در حالی که حمله اسپری کردن رمزعبور منطبق بر حدس و گمان است، حملات keylogging سعی در پی بردن به رمزعبور دقیق کاربر هنگام تایپ کردن آن دارد.
حمله پر کردن اعتبارنامه (Credential Stuffing)
در حمله پر کردن اعتبارنامه، هکرها به لیستی از حسابهای در معرض خطر یا اعتبارنامههای هکهای قبلی دسترسی پیدا میکنند. این اعتبارنامهها را میتوان در وب تاریک یا در میان حلقههای هکرها یافت یا خریداری کرد. در ادامه هکرها از طریق رویکرد brute force شروع به حدس زدن رمزعبور حسابهایی میکنند که قبلاً مورد نفوذ واقع شده است. در روش اسپری کردن رمزعبور تمام حسابها را بدون توجه به اینکه قبلاً مورد نفوذ واقع شده هدف قرار میدهد.
حمله فیشینگ (Phishing)
هکرها ممکن است سعی کنند تا رمزعبور کاربر را از طریق تعامل مستقیم با فرد دریافت کنند. فرد مهاجم ممکن است که هویت شخص ثالث یا خدمات قانونی را جعل کند و آنها را با یک لینک به صفحه وب جعلی هدایت کند که در آن صفحه از کاربر خواسته میشود اعتبار رمزعبور خود مانند اطلاعات بانکی یا سایر خدمات را وارد کند. در مقابل اسپری کردن رمز عبور شامل هیچ تلاش فوری و آشکاری نیست، بلکه تمامی فرآیند در پشت پرده و بدون اطلاع سازمان و کاربران صورت میگیرد.
رهگیری ترافیک
راه دیگری که هکرها از آن برای بهدست آوردن رمزعبور استفاده میکند، نظارت بر دادهها و ترفیک از طریق شبکه وایفای است. در این نوع حمله پیامرسانها یا ایمیلها مورد هدف قرار میگیرد. فرد مهاجم تلاش میکند تا ارتباطات حاوی رمز عبور را بیابد. اتصالات وایفای ناامن که از رمزگذاری HTTP استفاده نمیکند، آسیب پذیر است. رهگیری ترافیک مستلزم هزینه و تلاش فنی بسیار زیادی است. به همین دلیل، اسپری کردن رمزعبور را به گزینه جذابتری برای کارهای خرابکارانه تبدیل کرده است.
سه سیگنال تشخیص اسپری کردن رمز عبور
یکی از بهترین کارهایی که میتوان برای جلوگیری از قربانی شدن در برابر حملات اسپری کردن رمزعبور انجام دهید، تشخیص صحیح آن است. در اینجا سه نشانه برای جستوجو وجود دارد که نشان میدهد سیستم و سازمان شما ممکن است در برابر این نوع حمله قرار گرفته باشد. این سه نشانه شامل موارد زیر است:
۱- افزایش ناگهانی ورودهای ناموفق
از آنجایی که اسپری کردن رمزعبور حسابهای زیادی را در یک سازمان پوشش میدهد، تعداد زیاد تلاشهای ناموفق برای ورود در یک بازه زمانی کوتاه یکی از نشانههای آن است.
۲- تعداد بالای حسابهای قفل شده
اسپری کردن رمزعبور از طریق منتظر ماندن تا زمان تلاش برای ورود بعدی از وقفه جلوگیری میکند. با این حال، اگر تعداد غیرمعمولی حسابهای قفل شده را مشاهده کردید، این میتواند نشانهای از این باشد که هکرها یک بار حمله اسپری رمز عبور را شروع کردهاند، قفل شده و منتظر ماندهاند تا به زودی دوباره تلاش کنند.
۳- تلاشهای کاربر ناشناس یا نامعتبر
هکرهایی که اقدام به اسپری کردن رمز عبور میکنند به احتمال زیاد لیست دقیقی از اعتبار نام کاربری ندارند. آنها این حسابها را یا حدس زدهاند یا یک لیست قدیمی را به صورت آنلاین خریداری کردهاند. اگر نامهای کاربری نامعتبری را مشاهده کردید که برای ورود به سیستم تلاش کردهاند این اتفاق را میتوان نشانهای از آغاز حمله دانست.
چند راهکار برای رفع حمله اسپری کردن رمزعبور
اگر موفق به شناسایی یک حمله اسپری کردن رمزعبور که در حال انجام است شدید، میتوانید مراحل زیر را برای محافظت از حسابهای آسیبپذیر و تقویت سیستم دفاعی سازمان خود در برابر تلاشهای بعدی اسپری کردن رمز عبور انجام دهید.
۱- رمزهای عبور سازمانی را تغییر دهید
اولین کاری که باید انجام دهید این است که به همه کارمندان خود هشدار دهید که رمز عبور خودشان را تغییر دهند و مدام بهروزرسانی کنند. به آنها اطلاع دهید که از رمزهای عبور رایج یا عبارات و ترکیبات ساده استفاده نکنند. میتوانید به آنها دستورالعملهایی را در مورد نحوه ایجاد رمزعبور قدرتمند و پیچیده بدهید یا اینکه یک ابزار تولید رمزعبور در اختیار آنها قرار دهید.
۲- اجرای طرح واکنش به حوادث
هر شرکتی باید از قبل برنامههایی برای طرحریزی و واکنش به حوادث سایبری داشته باشد. اگر به حمله اسپری کردن رمز عبور مشکوک هستید، باید فوراً مراحلی را که از قبل مشخص کردید اجرا کنید. هنگامی که احساس کردید حسابهای کاربری شما ایمن است باید طرح را بررسی و بازرسی کنید تا مطمئن شوید که فعالیتهای اصلاحی، حملات اسپری کردن رمز عبور را نیز شامل میشود.
۳- تنظیمات رمزعبور امنیتی را پیکربندی کنید
اگر سازمان شما از یک پلتفرم ثبتنام امنیتی استفاده میکند، مطمئن شوید که برای تشخیص یا شناسایی تلاشهای ناموفق برای ورود به همه سیستمها پیکربندی شده باشد. این به شما کمک میکند تا علائم آشکارساز حملات اسپری کردن رمزعبور را به سرعت تشخیص داده و همچنین با بهدست آوردن اطلاعاتی درباره تمام فعالیتهای ورود ناموفق، ظرفیت تحقیقات شما افزایش خواهد یافت.
۴- تضمین سیاستهای قفل قوی
تعیین یک آستانه مناسب برای سیاست قفلگذاری در سطح دامنه، از حملات اسپری کردن رمزعبور محافظت میکند. این آستانه باید به نوعی طراحی شود تا از ورود مهاجمانی که چندین بار احراز هویت را انجام میدهند جلوگیری کند. در عین حال ورود کاربرانی را که دارای حسابهای قانونی هستند با خطاهای ساده قفل نشود. همچنین، باید یک فرآیند ساده و روشن برای باز کردن و ریست کردن حساب کاربران تأیید شده در آن وجود داشته باشد.
۵- اتخاذ رویکرد اعتماد صفر
سنگ بنای رویکرد صفر بر این است که فقط به هر آنچه که در یک زمان معین برای تکمیل کار نیاز است افراد دسترسی داشته باشند. پیادهسازی اعتماد صفر در یک سازمان میتواند سهم کلیدی در امنیت شبکه داشته باشد.
۶- استفاده از یک قرارداد نام کاربری غیر استاندارد
اجتناب از انتخاب نامهای کاربری متداول مانند john.doe باید مورد توجه قرار بگیرد. لاگینهای غیراستاندارد جداگانه برای یک «sign on» برای حسابها یکی از راههای فرار از دست مهاجمان است.
۷- استفاده از بیومتریک
برای جلوگیری از سوءاستفاده مهاجمان از نقاظ ضعف احتمالی گذرواژههای الفبایی برخی از سازمانها نیاز به لاگین بیومتریک دارند که بدون حضور شخص، مهاجم نمیتواند وارد حساب و سیستم آنها شود.
۸- دقت و مراقبت از الگوها
اطمینان حاصل کنید که هرگونه تدابیر امنیتی در محل بهسرعت میتواند الگوهای ورود مشکوک را شناسایی کند. مانند حجم زیادی از حسابها که تلاش میکنند به طور همزمان وارد سیستم شوند.
به منظور جلوگیری از چنین حملاتی باید زیرساخت مناسبی را ایجاد کنید. از جمله این اقدامات شامل موارد زیر است:
۱- فعال کردن Active Directory Password Protection
بسیاری از سیستمها مانند Microsoft Azure، به مدیران اجازه میدهد تا رمزهای عبور رایج یا آن مواردی که به راحتی حدس زده میشود را بهطور کلی حذف کنند. اگر چنین گزینهای را دارید باید آن را فعال کنید. با ممنوع کردن گذرواژههایی که بیشتر مستعد حملات است از همان ابتدا شما اقدام به مقابله با هکرها خواهید کرد. همچنین میتوانید فهرست سفارشی شده از گذرواژههایی متداول که ممکن است به صنعت، شرکت یا منطقه خاص شما مرتبط باشد اضافه کنید.
۲- انجام حملات شبیهسازی شده یا Pen Testing
انجام یک حمله اسپری کردن رمزعبور شبیهسازی شده به اندازهگیری میزان آسیبپذیری سازمان شما کمک میکند. به عنوان نمونه، برخی از نرمافزارهای شبیهسازی حمله به شما امکان میدهد فهرستی از رمزهای عبور رایج را انتخاب کرده و تعداد کاربران شرکت شما را گزارش دهد. شبیهسازی حملات اسپری همچنین به شما امکان میدهد گذرواژههای مختلف منطقه یا صنعت خاصی را آزمایش کنید و تصمیم بگیرید که کدام یک باید در لیست ممنوعیت سفارشی شما قرار بگیرد.
۳- پیادهسازی دسترسی کاربر بدون رمزعبور
یکی از مهمترین اقدامات پیشگیرانه در برابر اسپری کردن رمزعبور، حذف استفاده از رمزعبور در کسبوکار خودتان است. این به معنای پیادهسازی فناوریهایی مانند دسترسی کاربر بیومتریک یا فعالسازی صوتی است که امکان سرقت، کپی کردن یا ورود به آن برای هکرها بسیار سخت حواهد بود. حداقل اقدام پیشگیرانه این است که احراز هویت چندعاملی را فعال کنید تا تنها وارد کردن رمزعبور برای ورود به سیستم کافی نباشد.