5 kartus žiaurių jėgų išpuoliai sukelia didžiulius saugumo pažeidimus

Suprasti, kad į jūsų paskyrą buvo įsilaužta, yra ne kas kita, kaip malonu. Kibernetiniai užpuolikai, gavę neteisėtą prieigą prie jūsų tinklo, atskleidžia jūsų asmeninę informaciją, ir kai tai atsitiks, jie gali su tuo daryti viską, ko nori.

Ar nesate tikri, kaip jie įsilaužė į jūsų paskyrą, ypač kai atsargiai vertinote prisijungimo duomenis? Tikriausiai jie tai išsiaiškino grubia jėga. Bet jūs nesate vieni-kai kurios aukšto lygio organizacijos taip pat patyrė tą patį likimą.

Šiame straipsnyje mes išryškinsime penkis brutalios jėgos išpuolius, dėl kurių įvyko didžiuliai saugumo pažeidimai.

Kas yra žiaurių jėgų ataka?

Žiaurios jėgos išpuolis yra procesas, kurio metu kiekvienas kompiuterio klaviatūros klavišas bandomas rasti teisingą slaptažodį ar prisijungimo duomenis. Tai daugiau ar mažiau spėlionių žaidimas.

Žiaurios jėgos atakos koncepcija sukuria vaizdą, kaip kibernetinis užpuolikas sėdi savo kompiuteryje, atspėdamas sistemos ar paskyros slaptažodį. Tačiau tai yra bazinis lygis.

Kibernetiniai užpuolikai bėgant metams tapo sudėtingesni. Užuot spėlioję patys, jie kartais naudoja pažangias technologijas, leidžiančias kompiuteriui atspėti slaptažodį sujungiant visus galimus žodžius.

Ar žiaurių jėgų ataka yra neteisėta?

Kas nustato, ar ataka yra neteisėta, ar ne, yra įgaliota ar neteisėta prieiga. Jei naudojate žiaurią jėgą, norėdami patekti į kieno nors tinklą be jo leidimo, tai neteisėta.

Yra keletas atvejų, kai žiaurios jėgos ataka gali būti teisėta, ir tai dažniausiai atliekama skverbimosi testo metu. Pavyzdžiui, organizacija gali pasamdyti įžeidžiančio saugumo ekspertą išbandykite jo tinklo saugumo stiprumą įsilauždami į jį. Šiuo atveju yra aiškios instrukcijos, ką įsilaužėlis turėtų daryti.

Tinklo saugumo teikėjai taip pat naudoja skverbties testą, kad patikrintų savo klientų tinklo saugumą. Tokie klientai puikiai žino skverbties testą ir sutinka su juo.

Žiaurių jėgų atakos tikslai

Yra keli brutalios jėgos metodai, kuriuos užpuolikai naudoja kenkėjiškai veiklai. Atakai taikomas metodas priklauso nuo užpuoliko patirties, jo tikslo ir tinklo saugumo lygio.

Žiaurios jėgos atakų tipai yra paprasti brutalios jėgos išpuoliai, žodyno išpuoliai, hibridinės jėgos atakos, atvirkštinės brutalios jėgos atakos ir įgaliojimų pildymas.

Vykdydami žiaurios jėgos ataką, įsilaužėliai siekia sutrikdyti. Žemiau yra penkios pagrindinės priežastys, kodėl nusikaltėliai naudoja šią taktiką.

1. Asmeninės informacijos vagystė

Žiaurios jėgos išpuolių vykdytojai gali įsilaužti į jūsų tinklą pavogti jūsų asmeninę informaciją pvz., kredito kortelės duomenys, sąskaitos slaptažodžiai, asmens identifikavimo numeriai (PIN) ir kiti prisijungimo prie interneto duomenys.

2. Žala reputacijai

Žiaurios jėgos išpuoliai gali būti naudojami keršto tikslais. Nukentėjęs asmuo gali samdyti kibernetinių atakų paslaugas, kad šiurkščia jėga įsilaužtų į jūsų tinklą, ir naudoti jūsų slaptus duomenis, kad sugadintų jūsų reputaciją.

3. Įgaliojimų pardavimas trečiosioms šalims

Gavęs prieigą prie jūsų įgaliojimų, įsilaužėlis galėtų juos parduoti trečiosioms šalims, kurios nori už jas sumokėti daug pinigų. Jūsų įgaliojimų rinkos vertę lemia jų vertė.

4. Išpirkos

Kibernetiniai užpuolikai gali panaudoti brutalios jėgos atakas, kad užgrobtų jūsų sistemą ir pareikalautų iš jūsų sumokėti išpirką, kol jie jus grąžins į jūsų tinklą.

Žiaurios jėgos atakų pavyzdžiai realiame gyvenime

Bėgant metams buvo įvykdyta keletas brutalios jėgos išpuolių prieš organizacijas. Šių platformų vartotojai prarado asmeninę informaciją, o kai kuriais atvejais ir lėšas. Kai kuriais atvejais organizacijos taip pat patyrė ieškinį dėl to, kad nesugebėjo užkirsti kelio atakoms.

Pažvelkime į penkias realaus gyvenimo brutalios jėgos atakas ir jų pasekmes.

1. „Dunkin‘ Donuts “(2015 m.)

Kavos franšizė „Dunkin’ Donuts “patyrė žiaurų jėgos išpuolį, dėl kurio jos vartotojai prarado milžiniškas sumas per bendrovės mobiliojo ryšio programą ir svetainę. Kibernetiniai užpuolikai panaudojo žiaurią jėgą, kad per penkias dienas neteisėtai patektų į 19 715 vartotojų sąskaitas, pavogdami jų pinigus.

Vėliau bendrovė buvo apkaltinta ieškiniu, nes neinformavo savo vartotojų apie kompromisą, kad jie galėtų imtis būtinų priemonių savo sąskaitoms apsaugoti.

Nors „Dunkin 'Donuts“ iš pradžių neigė, kad dalyvavo atakoje, vėliau sutiko sumokėti 650 000 USD, kad būtų išspręstas ieškinys.

2. „Alibaba“ (2016)

Populiarioji elektroninės prekybos platforma „Alibaba“ buvo žiaurios jėgos atakos, kuri 2016 m. Sukėlė pavojų maždaug 21 milijono vartotojų sąskaitoms, auka. Per išpuolį, įvykusį nuo tų metų spalio iki lapkričio, užpuolikai gavo neteisėtą prieigą prie 99 milijonų vartotojų vardų ir slaptažodžių.

Pasinaudodami turima duomenų baze, jie sukėlė pavojų 20,6 mln.

Ekspertai atskleidė, kad pagrindinė atakos priežastis buvo vartotojų slaptažodžių sutapimas. Buvo nustatyta, kad dauguma vartotojų kitoms paskyroms naudojo tą patį platformos slaptažodį. Kita atakos priežastis buvo silpni slaptažodžiai. Kai kurie vartotojai turėjo silpnus slaptažodžius, kuriuos buvo lengva išsiaiškinti.

3. Magento (2018)

„Magento“ yra dar viena populiari elektroninės prekybos platforma ir, kaip ir „Alibaba“, patyrė žiaurios jėgos ataką, kuri sukėlė pavojų jos administratorių grupėms 2018 m.

Pasak išpuolį atradusių tyrėjų, tamsiame internete buvo rasta ne mažiau kaip 1000 paskyros kredencialų. Užpuolikų tikslas buvo iškrapštyti sąskaitų turėtojų kredito kortelių numerius ir užkrėsti jų įrenginius kenkėjiška programa, skirta kriptovaliutų gavybai.

Ekspertai manė, kad apie paveiktas sąskaitas pranešta daugiau nei 1000. „Magento“ atvirame šaltinyje rasta bendrovė atskleidė, kad užpuolikai panaudojo silpnus savo slaptažodžius vartotojams pradėti brutalios jėgos ataką ir patarė jos vartotojams sukurti stipresnius slaptažodžius, kad būtų išvengta a pasikartojimas.

4. Šiaurės Airijos parlamentas (2018 m.)

Šiaurės Airijos parlamentas buvo žiaurios jėgos išpuolio, sukėlusio pavojų kai kurių jo narių sąskaitoms, taikinys 2018 m.

Atlikus tyrimus paaiškėjo, kad ataką inicijavo išoriniai šaltiniai. Užpuolikai prieiga prie susirinkimo narių pašto dėžučių bandė kelis slaptažodžius.

Paveiktos paskyros buvo ištrintos, o parlamento nariams patariama pakeisti slaptažodžius į stipresnius. Vietoj pavienių žodžių jiems buvo patarta naudoti slaptafrazes.

5. Kanados pajamų agentūra (2020 m.)

Kanados pajamų agentūra (CRA) buvo žiaurios jėgos atakos auka, kuri 2020 m. Rugpjūčio mėn. Sukėlė pavojų maždaug 11 000 KRA ir kitų su vyriausybe susijusių paslaugų paskyrų.

Išpuolio vykdytojai buvo nukreipti į Kanados pajamų agentūrą (CRA) ir pagrindinę Kanados vyriausybės tarnybą (GCKey), agentūros, leidžiančios kanadiečiams pasiekti įvairias šalies vyriausybės programas ir paslaugas.

Ekspertai atskleidė, kad užpuolikai panaudojo anksčiau pavogtus prisijungimo duomenis, tokius kaip vartotojo vardai ir slaptažodžiai, kad įsilaužtų į paveiktą asmenį. Išpuolis pakartojo, kad nepatartina to paties slaptažodžio naudoti keliose svetainėse ar paskyrose. Galite užkirsti kelią žiaurios jėgos išpuoliams sukurti stiprius slaptažodžius sau.

Sveikos kibernetinio saugumo kultūros praktikavimas

Kibernetinės atakos iš prigimties yra stiprios, nes jos yra neleistinos. Žiaurios jėgos išpuoliai tik sustiprina procesą, naudojant įvairius metodus. Puikus būdas užkirsti kelią įsilaužėliams bet kokios formos išpuolių atveju - įgyvendinti išmanią kibernetinio saugumo praktiką. Imdamiesi dar vienos atsargumo priemonės savo paskyrose ir sistemose, įsilaužėliai prideda dar vieną saugumo lygį turite apeiti, o tai gali būti skirtumas tarp jūsų asmeninės informacijos pažeidimo arba ne.

Kas yra žiaurios jėgos išpuoliai? Kaip apsisaugoti

Kas yra žiaurios jėgos išpuolis? Štai kaip veikia ši įprasta ataka ir kaip apsisaugoti nuo jos.

Skaityti toliau

Apie autorių