Wat is een password spraying-aanval?
Password spraying is een soort brute-force-aanval waar een kwaadwillend persoon probeert hetzelfde wachtwoord te gebruiken voor meerdere accounts voordat deze een ander probeert. Password spraying-aanvallen zijn meestal effectief omdat veel gebruikers eenvoudige en gemakkelijk te raden wachtwoorden gebruiken, zoals 'wachtwoord' of '123456' enzovoort.
In veel organisaties worden gebruikers geblokkeerd na een bepaald aantal mislukte inlogpogingen. Omdat bij password spraying-aanvallen wordt geprobeerd in te loggen op meerdere accounts met één wachtwoord, wordt accountblokkering vermeden die meestal plaatsvindt wanneer er met brute kracht wordt geprobeerd in te loggen op één account met veel wachtwoorden.
Een typisch kenmerk van password spraying – zoals het woord 'spraying' al aangeeft – is dat het zich op duizenden of zelfs miljoenen verschillende gebruikers tegelijkertijd kan richten, in plaats van slechts één account. Het proces is meestal geautomatiseerd en kan met de tijd voorkomen om onopgemerkt te blijven.
Password spraying-aanvallen vinden meestal plaats op plekken waar de toepassing of beheerder binnen een bepaalde organisatie een standaard wachtwoord voor nieuwe gebruikers instelt. Platformen die cloudgebaseerd zijn of waar je maar één keer hoeft in te loggen kunnen ook bijzonder kwetsbaar zijn.
Ook al lijkt password spraying misschien simpel in vergelijking met andere soorten cyberaanvallen, zelfs geraffineerde cybercriminele groepen gebruiken het. In 2022 gaf het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) bijvoorbeeld een waarschuwing af over door de staat gesteunde cyberactoren, met een overzicht van verschillende tactieken die ze gebruiken om toegang te krijgen tot beoogde netwerken – waar password spraying in stond.
Hoe werkt een password spraying-aanval?
Password spraying-aanvallen bestaan meestal uit de volgende stappen:
Stap 1: Cybercriminelen kopen een lijst met gebruikersnamen of maken hun eigen lijst
Een password spraying-aanval begint meestal met een cybercrimineel die lijsten met gebruikersnamen koopt – lijsten die zijn gestolen van verschillende organisaties. Naar schatting zijn er meer dan 15 miljard inloggegevens te koop op het dark web.
Cybercriminelen kunnen ook hun eigen lijst maken door de indelingen te volgen die zakelijke e-mailadressen volgen – bijvoorbeeld firstname.lastname@companyname.com – en een lijst met werknemers te gebruiken, verkregen van LinkedIn of andere openbare informatiebronnen.
Soms richten cybercriminelen zich op bepaalde groepen werknemers, financiën, beheerders of algemeen directeuren, aangezien gerichte aanpakken betere resultaten opleveren. Meestal zijn bedrijven of afdelingen die eenmalig inloggen (SSO) of protocollen voor federatieve authenticatie gebruiken – dat wil zeggen, de mogelijkheid om in te loggen op Facebook met bijvoorbeeld je Google-inloggegevens – of die geen multi-factor authenticatie hebben geïmplementeerd.
Stap 2: Cybercriminelen verkrijgen een lijst met veelgebruikte wachtwoorden
Bij password spraying-aanvallen wordt gebruikgemaakt van lijsten met veelgebruikte of standaard wachtwoorden. Het is relatief eenvoudig om erachter te komen welke wachtwoorden het meest worden gebruikt – deze worden elk jaar door verschillende rapporten of onderzoeken gepubliceerd en Wikipedia heeft zelfs een pagina met daarop de 10.000 meest gebruikte wachtwoorden. Cybercriminelen kunnen ook zelf onderzoek doen om wachtwoorden te raden – door bijvoorbeeld de naam van het sportteam of belangrijke bezienswaardigheden in de omgeving van een beoogde organisatie.
Stap 3: Cybercriminelen proberen verschillende gebruikersnaam-/wachtwoordcombinaties
Zodra de cybercrimineel een lijst met gebruikersnamen en wachtwoorden heeft, is het doel om deze uit te proberen tot je een combinatie vindt die werkt. Meestal wordt het proces geautomatiseerd met tools voor password spraying. Cybercriminelen gebruiken één wachtwoord voor verschillende gebruikersnamen en dit proces herhalen ze met het volgende wachtwoord op de lijst, om te voorkomen dat ze het beleid voor accountvergrendeling schenden of in aanraking komen met IP-adresblokkeringen die inlogpogingen beperken.
Impact van password spraying-aanvallen
Zodra aanvallers via een password spraying-aanval toegang hebben tot een account, hopen ze dat het gegevens bevat die waardevol genoeg zijn om te stelen of dat het voldoende machtigingen bevat om de beveiligingsmaatregelen van een bedrijf verder te verzwakken en toegang te krijgen tot meer gevoelige gegevens.
Password spraying-aanvallen kunnen, als het lukt, aanzienlijke schade aanrichten aan organisaties. Een aanvaller kan bijvoorbeeld met ogenschijnlijk legitieme inloggegevens toegang krijgen tot bankrekeningen om frauduleuze aankopen te doen. Als dit onopgemerkt blijft, kan dit een financiële last worden voor het getroffen bedrijf. Het herstel van een cyberaanval kan een aantal maanden of zelfs langer duren.
Password spraying kan, naast de financiën van een organisatie beïnvloeden, het dagelijkse werk aanzienlijk vertragen of onderbreken. Kwaadaardige, bedrijfsbrede e-mails kunnen de productiviteit verminderen. Als een zakelijk account door een aanvaller wordt overgenomen, kan diegene privégegevens stelen, aankopen annuleren of de leverdatum voor diensten aanpassen.
En dan is er nog reputatieschade – als er op deze manier inbreuk is gedaan op een bedrijf, hebben klanten er minder vertrouwen in dat hun gegevens veilig zijn bij dat bedrijf. Ze gaan misschien ergens anders zaken doen, waarmee extra schade wordt aangericht.
Voorbeeld van password spraying
"Toen mijn bank het doelwit was van een password spraying-aanval, werd mij gevraagd mijn wachtwoord te wijzigen. Kwaadwillende personen konden miljoenen gebruikersnaam- en wachtwoordcombinaties van klanten van de bank uitproberen - en helaas was ik een van hen."
Password spraying versus brute force
Bij een password spraying-aanval wordt geprobeerd met een paar veelgebruikte wachtwoorden toegang te krijgen tot een groot aantal accounts. Bij brute-force-aanvallen wordt echter geprobeerd onbevoegde toegang te krijgen tot een account door het het wachtwoord te raden – meestal met gebruik van flinke lijsten met mogelijke wachtwoorden.
Kortom, bij brute-force-aanvallen gaat het om veel wachtwoorden voor elke gebruikersnaam. Bij password spraying gaat het om veel gebruikersnamen voor één wachtwoord. Er zijn verschillende manieren om authenticatie-aanvallen uit te voeren.
Tekenen van een password spraying-aanval
Bij password spraying-aanvallen ontstaan meestal frequente, mislukte verificatiepogingen bij meerdere accounts. Organisaties kunnen activiteit van password spraying detecteren door verificatielogboeken te controleren op mislukte inlogpogingen van geldige accounts bij systemen en toepassingen.
De belangrijkste tekenen van een password spraying-aanval zijn over het algemeen:
- Veel aanmeldingsactiviteit binnen een korte periode.
- Een piek in het aantal mislukte inlogpogingen door actieve gebruikers.
- Aanmeldingen van accounts die niet bestaan of inactief zijn.
Jezelf beschermen tegen password spraying-aanvallen
Organisaties kunnen zichzelf beschermen tegen password spraying-aanvallen door de volgende voorzorgsmaatregelen te nemen:
Implementeer een beleid voor sterke
wachtwoorden
Door het gebruik van sterke wachtwoorden af te dwingen, kunnen IT-teams
het risico op password spraying-aanvallen beperken. Hier lees je hoe je
een sterk wachtwoord maakt.
Stel detectie voor aanmeldingen in
IT-teams moeten detectie implementeren voor inlogpogingen op meerdere
accounts in een kort tijdsbestek die van één host afkomstig zijn –
aangezien dit een duidelijke indicator is voor pogingen van password
spraying.
Zorg voor een sterk uitsluitingsbeleid
Een geschikte drempel instellen voor het uitsluitingsbeleid op
domeinniveau beschermt tegen password spraying. De drempel moet een
balans vinden tussen laag genoeg zijn om te voorkomen dat aanvallers
binnen de uitsluitingsperiode meerdere verificatiepogingen doen, maar
niet zo laag dat legitieme gebruikers door simpele fouten geen toegang
meer hebben tot hun account. Er moet ook een duidelijk proces zijn voor
het ontgrendelen en opnieuw instellen van gebruikers van geverifieerde
accounts.
Neem een zero trust-benadering aan
Een steunpilaar van de zero trust-benadering
is enkel toegang bieden tot datgene wat op een bepaald moment nodig is
om de taak uit te voeren. Het implementeren van zero trust binnen een
organisatie is een belangrijke bijdrage aan netwerkbeveiliging.
Gebruik een afwijkende gebruikersnaamconventie
Vermijd om voor de hand liggende gebruikersnamen zoals john.doe of jdoe
– wat de meest gebruikte methoden voor gebruikersnamen zijn – te kiezen
voor iets anders dan e-mail. Het scheiden van afwijkende aanmeldingen
voor accounts met eenmalige aanmelding is een manier om te ontkomen aan
aanvallers.
Gebruik biometrie
Om te voorkomen dat aanvallers de mogelijk zwakke punten van
alfanumerieke wachtwoorden gaan benutten, vereisen sommige organisaties
biometrisch inloggen. De aanvaller kan zonder de persoon in kwestie niet
inloggen.
Kijk uit voor patronen
Zorg ervoor dat alle beveiligingsmaatregelen die van kracht zijn, snel
verdachte inlogpatronen kunnen identificeren, zoals een groot aantal
accounts dat gelijktijdig probeert in te loggen.
Het gebruik van een wachtwoordbeheerder kan helpen
Wachtwoorden zijn bedoeld om gevoelige informatie te beschermen tegen kwaadwillenden. De gemiddelde gebruiker vandaag de dag heeft echter zoveel wachtwoorden dat het moeilijk kan zijn om ze allemaal bij te houden – met name als elke set inloggegevens uniek moet zijn.
Om de wachtwoorden proberen bij te houden, maken sommige gebruikers de fout door wachtwoorden te gebruiken die logisch of makkelijk te raden zijn, en vaak gebruiken ze hetzelfde wachtwoord voor meerdere accounts. Dit zijn precies de soorten wachtwoorden die kwetsbaar zijn voor password spraying-aanvallen.
De vaardigheden en tools van aanvallers zijn de afgelopen jaren aanzienlijk geëvolueerd. Tegenwoordig zijn computers veel sneller in het raden van wachtwoorden. Aanvallers gebruiken automatisering om wachtwoord-databases of online accounts aan te vallen. Ze beheersen bepaalde technieken en strategieën die meer succes opleveren.
Voor individuele gebruikers kan het gebruik van een wachtwoordbeheerder, zoals Kaspersky Password Manager, helpen. Wachtwoordbeheerders combineren complexiteit en lengte om moeilijk te kraken wachtwoorden aan te bieden. Ze nemen ook de last weg van het moeten onthouden van verschillende inloggegevens en bovendien helpt een wachtwoordbeheerder door te controleren of er een wachtwoord wordt herhaald voor verschillende diensten. Er is een praktische oplossingen voor individuen om hun unieke inloggegevens te genereren, beheren en bewaren.
Gerelateerde producten:
Verdere lectuur: