Мало букв: хакеры взяли на вооружение метод распыления паролей

Хакеры разработали новый инструмент для проведения атак на российских пользователей — об этом предупредили эксперты. Этот метод позволяет легко взламывать учетные записи, не защищенные сложными паролями, что чревато хищением как персональных данных, так и банковской информации. Подробности о том, как устроены кибератаки при помощи метода распыления паролей, чем они опасны и как защититься от них, читайте в материале «Известий».

В чем суть метода распыления паролей

По содержанию атаки напоминают bruteforce, или автоматизированный перебор учетных данных по словарю, рассказала «Известиям» эксперт центра исследования киберугроз Solar 4RAYS (ГК «Солар») Маргарита Павлова. По ее словам, злоумышленники делают расчет на нахождение пары «логин – пароль», которая гарантирует им доступ в систему.

— Разница лишь в том, что классические атаки подразумевают перебор многих паролей для одной учетной записи, — объясняет специалист. — А в случае с распылением перебирается множество учетных записей для одного пароля.

По словам Маргариты Павловой, список учетных записей злоумышленники получают из агрегированных баз с утечками из разных сервисов. Не секрет, что многие люди используют для аутентификации одни и те же номера телефонов или почтовые адреса, а это сильно упрощает злоумышленникам работу по сбору этих данных и позволяет применить один и тот же набор на нескольких сервисах.

Кроме того, сегодня существует множество агрегированных словарей, состоящих из часто встречаемых паролей в различных вариациях. Пароли также компилируются из утечек или являются известными альтерациями «классических» вариантов — например, Qwe12345 и q1w2e3r4, дополняет эксперт.

— После того как киберпреступники попробовали использовать пароль для списка учетных записей, они переходят к следующему и повторяют атаку для того же списка, — объясняет руководитель отдела экспертизы MaxPatrol SIEM (Positive Technologies) Кирилл Кирьянов.

Кто и как распыляет пароли в России

Сегодня атаки при помощи метода распыления паролей происходят регулярно, и Россия тут не исключение, говорит Кирилл Кирьянов. По словам эксперта, в мире существует большое множество ботнетов, которые пытаются атаковать любой открытый интернет-сервис, например почту или форму аутентификации на веб-сервере.

— APT-группировки (устойчивые киберпреступные сообщества, в которых роли и обязанности атакующих четко распределены) также могут использовать эту технику для получения первичного доступа или развития атаки, — отмечает Кирилл Кирьянов.

По данным центра противодействия кибератакам Solar JSOC ГК «Солар», в III квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. При этом, по словам Маргариты Павловой, одна из причин такого роста как раз заключается в резком увеличении атак методом распыления паролей.

Зачастую подобные атаки направлены на корпоративные учетные записи, преимущественно в сферах финансов, энергетики и государственного управления, говорит эксперт по кибербезопасности Angara Security Дмитрий Павловский. В России также существует риск подобных атак, потому как многие пользователи до сих пор используют слабые, а главное простые для ввода пароли и не применяют дополнительные меры защиты, такие как двухфакторная аутентификация.

— Некоторое время назад наши коллеги проанализировали 193 млн паролей, обнаруженных в публичном доступе на теневых ресурсах, — рассказывает эксперт Kaspersky GReAT Леонид Безвершенко. — Почти половину из них злоумышленники могли бы подобрать менее чем за минуту.

По словам эксперта, сегодня метод распыления паролей остается актуальным инструментом в руках злоумышленников, нацеленных как на пользователей, так и на организации. При этом риск подобных атак остается высоким не только из-за распространенности слабых паролей, но также и из-за частого переиспользования одних и тех же кодов пользователями.

Чем опасны атаки при помощи метода распыления паролей

Как правило, метод распыления паролей применяется, если необходимо получить доступ к ресурсам, доступным через интернет, рассказал «Известиям» руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. При этом ресурсы могут быть самыми разными — от серверов e-mail до интернет-магазинов.

— Сама по себе техника подбора пароля перебором — вероятно, одна из старейших техник взлома чего-либо, поэтому область ее применения крайне широка, — констатирует специалист.

Как отмечает эксперт по сетевым угрозам компании «Код Безопасности» Константин Горбунов, для обычных пользователей в случае успешной реализации атаки методом распыления паролей опасность заключается в утечке личных данных, среди которых могут быть банковские уведомления об операциях и остатках на счетах, а также сканы документов и другая приватная информация.

Для корпоративного сегмента угрозы те же, однако к ним добавляется новая конфиденциальная информация: структура организации, e-mail контрагентов, скан-копии документов и так далее. В какой-то степени реализовать подобные атаки в корпоративном сегменте может быть даже проще, поскольку во многих компаниях логин пользователя имеет унифицированный вид и содержит инициалы или фамилию, а также домен компании.

— Однако если инфраструктура грамотно защищена с точки зрения информационной безопасности, то «прорвать оборону» организаций сложнее: во-первых, система безопасности имеет несколько эшелонов, во-вторых, в них обязательно применяются сложные пароли, в-третьих — критические сервисы и данные изолированы от общей IT-инфраструктуры, — рассказывает Константин Горбунов.

Иными словами, даже если методом распыления злоумышленник подберет пароль к аккаунту одного сотрудника, повлиять на работоспособность компании он не сможет, поскольку все внутренние ресурсы разбиты на независимые сегменты.

Варианты защиты

Чтобы защитить себя от взлома с помощью метода распыления паролей, пользователям следует использовать сложные комбинации и периодически их менять, поскольку надежный пароль значительно усложняет взлом аккаунта даже в случае утечки данных, отметил старший тренер по компьютерной криминалистике компании F6 Михаил Николаев.

К тому же не стоит использовать один и тот же пароль для учетных записей на разных сервисах, добавляет руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин.

По словам эксперта, хорошим решением будет подключить многофакторную аутентификацию, которая требует подтверждения личности от входящего. Это поможет предотвратить взлом аккаунта, даже если злоумышленник получит доступ к вашему паролю. В качестве второго фактора аутентификации можно выбрать код в SMS или письмо на e-mail. Для корпоративных аккаунтов проверка подлинности может осуществляться через «Яндекс Ключ» или Google Authenticator.

— Компаниям не стоит забывать про своевременный сбор и анализ логов систем и инфраструктуры, — говорит директор по информационной безопасности «Т1 Облако» и «Т1 Интеграция» Алексей Кубарев.

Рост числа неудавшихся входов в систему и заблокированных учетных записей может быть признаком атаки, отмечает Виталий Фомин. Также важно внедрить практику блокировок аккаунта: например, задать определенное количество попыток входа для каждого пользователя. Если это число будет превышено, аккаунт автоматически заблокируется. Необходимо своевременно удалять учетные записи уволившихся сотрудников, чтобы они не стали окном входа в IT-инфраструктуру компании, заключает эксперт.