Uwaga na ataki typu password spraying i credential abuse

Departament Bezpieczeństwa Krajowego (DHS, ang. Department of Homeland Security) i Federalne Biuro Śledcze (FBI, ang. Federal Bureau of Investigation) wydały ostatnio komunikat, w którym zwracają uwagę na ataki siłowe typu password spraying. Korzystało z nich dziewięciu Irańczyków związanych z Instytutem Mabna, którym przypisuje się kradzież 31 terabajtów danych z 320 uniwersytetów zlokalizowanych w 22 krajach, także w Polsce. Ataki password spraying polegają na wprowadzaniu jednego hasła na wielu kontach jednocześnie przed podjęciem próby sprawdzenia drugiego hasła itd. Technika ta pozwala uniknąć szybkiego i częstego blokowania kont użytkowników. Na celowniku atakujących znajdują się strony wykorzystujące mechanizm pojedynczego logowania (SSO, ang. Single Sign-On), aplikacje działające w chmurze oraz oparte na federacyjnym zarządzaniu tożsamością (takim jak np. OpenID). Metody tej mogą użyć także inne grupy przestępcze, choć te dysponujące własną infrastrukturą zastosują raczej ataki typu credential abuse, przed którymi ostrzega firma IBM. W tym przypadku próby logowania są podejmowane przez boty, które łączą się z atakowaną stroną za pośrednictwem tysięcy adresów IP, co utrudnia ich blokowanie. Jedną z ostatnich innowacji w tym zakresie są ataki na interfejsy programowania aplikacji (API, ang. Application Programming Interface), które umożliwiają interakcje między komputerami w Internecie. Zamiast atakować wiele kont jednocześnie, przestępcy próbują atakować API i uzyskać dostęp do całego zestawu danych za jednym zamachem.

Ryzyko duże: Udane ataki typu password spraying i credential abuse skutkują często utratą ważnych danych, co może negatywnie wpłynąć zarówno na finanse firmy, jak i jej reputację.

Działania długoterminowe: Analiza potencjalnych nadużyć pod kątem opisanych wektorów ataków. Zastosowanie uwierzytelniania wielopoziomowego (MFA, ang. Multi-Factor Authentication). Edukacja klientów w zakresie używania bezpiecznych haseł.

Źródło: https://www.us-cert.gov/ncas/alerts/TA18-086A, https://securityintelligence.com/the-account-checker-knocking-at-your-door/