Passwort-Spraying-Angriff: Wie kann man ihn erkennen und abwehren?

Durch das Festlegen eines Schwellenwerts für die Kontosperrung können Hacker daran gehindert werden, Brute-Force-Angriffe durchzuführen, um die Passwörter von Benutzerkonten zu erraten. Aber jetzt greifen Hacker zunehmend auf Passwort-Spraying-Angriffe zurück, um die Sperreinstellungen für Anmeldeversuche zu umgehen.

Im Vergleich zu einem herkömmlichen Brute-Force-Angriff ist ein Passwort-Spraying-Angriff relativ einfach durchzuführen und weist eine niedrige Erkennungsrate auf.

Was ist eigentlich ein Passwort-Spraying-Angriff, wie funktioniert er, wie können Sie ihn verhindern und was sollten Sie tun, um einen Passwort-Spraying-Angriff zu beheben? Lass es uns herausfinden.

What Is a Password Spraying Attack?

Ein Passwort-Spraying-Angriff ist eine Art Cyberangriff, bei dem Bedrohungsakteure häufig verwendete Passwörter auf mehrere Konten in einer Organisation verteilen, in der Erwartung, dass einige Passwörter ihnen dabei helfen, Zugriff auf Benutzerkonten zu erhalten.

Hacker verwenden ein einziges, häufig verwendetes Passwort für mehrere Konten in einem Unternehmen. Wenn sie beim ersten Versuch keinen Zugriff auf ein Konto erhalten, wechseln sie nach ein paar Tagen zu einem anderen Passwort, um das Passwort-Spraying durchzuführen.

Sie wiederholen den Vorgang, bis sie Zugriff auf ein Firmenkonto erhalten. Da sie nicht innerhalb kurzer Zeit mehrere Passwörter für ein einzelnes Konto verwenden, blockieren die Einstellungen zur Sperrung von Anmeldeversuchen die Konten nicht aufgrund übermäßiger Fehlversuche.

Sobald sie sich in einem Unternehmensnetzwerk befinden, können sie verschiedene Aktivitäten ausführen, um ihre böswilligen Ziele zu erreichen.

Benutzer haben heutzutage mehrere Konten. Das Erstellen eines sicheren Passworts für jedes Konto ist eine mühsame Aufgabe, ganz zu schweigen davon, sich diese Passwörter zu merken.

Daher erstellen viele Benutzer einfache Passwörter, um den Vorgang zu vereinfachen. Aber einfache Passwörter sind beliebt und bekannt. Jeder kann nach den gängigsten Passwörtern googeln und die Liste der am häufigsten verwendeten Passwörter erhalten. Dieses Szenario hat die Zunahme von Passwort-Spraying-Angriffen vorangetrieben.

Anbieter digitaler Arbeitsplätze und Unternehmensnetzwerke Citrix bestätigte, dass sich Bedrohungsakteure im Zeitraum 13. Oktober 2018 und 8. März 2019 durch das Versprühen von Passwörtern Zugang zum internen Netzwerk des Unternehmens verschafften.

Microsoft auch validiertes Passwort Sprühangriffe gegen mehr als 250 Office 365-Kunden.

How Does a Password Spraying Attack Work?

Hier sind die drei Schritte für erfolgreiche Passwort-Spraying-Angriffe.

# 1. Sammeln Sie die Liste der Benutzernamen

Der erste Schritt zur Durchführung eines Passwort-Spraying-Angriffs besteht darin, an eine Liste von Benutzernamen in einer Organisation zu gelangen.

Normalerweise verwenden Unternehmen eine standardisierte Konvention für Benutzernamen und machen die E-Mail-Adressen der Benutzer zu ihren Standardbenutzernamen für zugehörige Konten. Es erfordert wenig Aufwand, die E-Mail-Adressen von Benutzern zu erraten, da das am häufigsten verwendete E-Mail-Format Vorname.Nachname@Firmenname.com ist.

Bedrohungsakteure können auch mehr über die E-Mail-Adressen der Benutzer erfahren, indem sie die Website des Unternehmens, die LinkedIn-Profile der Mitarbeiter oder andere relevante Online-Profile besuchen.

Alternativ können sie eine leicht verfügbare Liste mit Benutzernamen im Dark Web kaufen.

# 2. Passwörter sprühen

Sobald sie eine Liste mit Benutzernamen haben, suchen sie nach „der Liste der häufigsten Passwörter“. Durch Google- und Bing-Suchen können Hacker schnell eine Liste gängiger Passwörter für ein bestimmtes Jahr erhalten. Um ihre Erfolgsaussichten zu erhöhen, passen Hacker möglicherweise die Liste häufig verwendeter Passwörter entsprechend dem geografischen Standort der Benutzer an.

Sie können beispielsweise beliebte Sportmannschaften/-spieler, kulturelle Aktivitäten, Musik usw. berücksichtigen. Wenn eine Organisation ihren Sitz in Chicago hat, können Hacker Chicago Bears mit häufig verwendeten Passwörtern kombinieren, um Passwörter zu verbreiten.

Nachdem sie ein einzelnes Passwort auf mehrere Konten gesprüht haben, warten sie mindestens 30 bis 50 Minuten, bevor sie mit dem nächsten Sprühangriff beginnen, um Kontosperrungen zu vermeiden.

Hacker können verschiedene automatisierte Tools verwenden, um den Sprühvorgang zu automatisieren.

# 3. Erhalten Sie Zugriff auf Konten

Wenn der Spraying-Angriff erfolgreich ist, erhält der Angreifer Zugriff auf die Benutzerkonten. Basierend auf den Berechtigungen dieser kompromittierten Konten können die Angreifer verschiedene böswillige Aktivitäten durchführen, wie etwa die Installation von Malware, den Diebstahl sensibler Daten, betrügerische Einkäufe usw.

Nehmen wir außerdem an, dass es dem Angreifer gelingt, in das Unternehmensnetzwerk einzudringen. In diesem Fall können sie durch seitliche Bewegungen tiefer in Ihr Netzwerk vordringen, um nach hochwertigen Vermögenswerten zu suchen und ihre Privilegien zu erhöhen.

Password Spraying vs. Credential Stuffing vs. Brute Force Attack

In Passwort-Credential-Stuffing-Angriffe, verwenden Bedrohungsakteure gestohlene Anmeldeinformationen einer Organisation, um auf Benutzerkonten auf verschiedenen Plattformen zuzugreifen.

Bedrohungsakteure machen sich die Tatsache zunutze, dass viele Menschen dieselben Benutzernamen und Passwörter verwenden, um auf ihren Konten auf mehreren Websites zuzugreifen. Da aufgrund der zunehmenden Zahl von Datenschutzverletzungen immer mehr Anmeldedaten offengelegt werden, haben Hacker nun mehr Möglichkeiten, Credential-Stuffing-Angriffe durchzuführen.

Andererseits nutzt ein Brute-Force-Angriff Versuch und Irrtum, um Passwörter und Anmeldeinformationen zu knacken. Cyberkriminelle versuchen, die richtigen Passwörter zu erraten, indem sie eine Vielzahl von Kombinationen testen. Sie benutzen Brute-Force-Angriffstools um den Prozess zu beschleunigen.

Einstellungen zur Sperrung von Anmeldeversuchen können Brute-Force-Angriffe verhindern, da die betreffenden Konten gesperrt werden, sobald das System in kurzer Zeit zu viele fehlgeschlagene Anmeldeversuche erkennt.

Bei Passwort-Spraying-Angriffen versuchen Hacker, ein einzelnes, häufig verwendetes Passwort gegen mehrere Konten in einer Organisation auszuprobieren. Da Bedrohungsakteure nicht in kurzer Zeit verschiedene Passwörter für ein einzelnes Konto ausprobieren, können Passwort-Spraying-Angriffe die Sperreinstellungen für Anmeldeversuche umgehen.

How Password Spraying Can Affect Your Company

So kann sich ein erfolgreicher Passwort-Spraying-Angriff auf Ihr Unternehmen auswirken:

• Durch den unbefugten Zugriff auf Ihre Konten in Ihrem Unternehmen können Bedrohungsakteure vertrauliche Informationen, Finanzunterlagen, Kundendaten und Geschäftsgeheimnisse preisgeben.
• Bedrohungsakteure könnten kompromittierte Konten nutzen, um betrügerische Transaktionen oder unbefugte Käufe durchzuführen oder sogar Geld von Ihren Geschäftskonten abzuheben.
• Sobald Hacker unbefugten Zugriff auf Benutzerkonten in Ihrem Unternehmen erhalten, können sie dies tun Verschlüsseln Sie wichtige Daten und verlangen Lösegeld als Gegenleistung für den Entschlüsselungsschlüssel.
• Ein Passwort-Spraying-Angriff kann zu einer Datenpanne führen, die zu finanziellen Verlusten und Reputationsschäden für Ihr Unternehmen führen kann. Vorfälle von Datenschutzverletzungen führen wahrscheinlich zu einem Vertrauensverlust bei den Kunden. Dadurch können sie ihre Geschäfte zu Ihren Mitbewerbern bringen.
• Sie benötigen Ressourcen, um auf eine Datenschutzverletzung zu reagieren, Rechtsbeistand einzuholen und externe Cybersicherheitsexperten einzustellen. Daher führt das Versprühen von Passwörtern zu einer erheblichen Ressourcenbelastung.

Kurz gesagt: Ein erfolgreicher Passwort-Spraying-Angriff hat eine Kaskadenwirkung auf verschiedene Aspekte Ihres Unternehmens. Dies kann finanzielle, betriebliche, rechtliche und rufschädigende Folgen haben.

How To Detect Password Spraying Attacks

Hier sind die wichtigsten verräterischen Anzeichen für einen Passwort-Spraying-Angriff:

• Sie bemerken in kurzer Zeit ein hohes Volumen an Anmeldeaktivitäten.
• Es gibt in kurzer Zeit eine große Anzahl abgelehnter Passwörter für mehrere Konten.
• Sie beobachten Anmeldeversuche von nicht aktiven oder nicht existierenden Benutzern.
• Es gibt Anmeldeversuche von IP-Adressen, die geografisch nicht mit dem bekannten Standort der Benutzer übereinstimmen.
• Es wird versucht, zu ungeraden Zeiten oder außerhalb Ihrer Geschäftszeiten auf mehrere Konten zuzugreifen. Für die Anmeldung bei diesen Konten wird immer nur ein Passwort verwendet.

Sie sollten die Authentifizierungsprotokolle auf System- und Anwendungs-Anmeldefehler gültiger Konten überprüfen, um Angriffe durch das Sprühen von Passwörtern zu erkennen.

How To Remediate a Password Spraying Attack

Wenn Sie vermuten, dass Hacker einen Passwort-Spraying-Angriff versuchen, sollten Sie folgende Maßnahmen ergreifen:

• Weisen Sie Ihre Mitarbeiter an, alle Passwörter sofort zu ändern und MFA zu aktivieren, falls einer von ihnen dies noch nicht getan hat.
• Stellen Sie eine bereit Endpoint Detection and Response (EDR)-Tool um alle böswilligen Aktivitäten an den Endpunkten Ihres Unternehmens zu verfolgen und so im Falle eines Passwort-Spraying-Angriffs die Querbewegung von Hackern zu verhindern.
• Überprüfen Sie, ob Anzeichen von Datendiebstahl oder Datenverschlüsselung vorliegen, und planen Sie die Wiederherstellung der Daten aus dem Backup, nachdem Sie sichergestellt haben, dass alle Konten sicher sind. Stellen Sie ein bereit Datensicherheitslösung um Ihre Daten zu schützen.
• Erhöhen Sie die Sensibilität Ihrer Sicherheitsprodukte, um fehlgeschlagene Anmeldeversuche über mehrere Systeme hinweg zu erkennen.
• Überprüfen Sie die Ereignisprotokolle, um zu verstehen, was passiert ist, wann es passiert ist und wie es passiert ist, um Ihren Plan zur Reaktion auf Vorfälle zu verbessern.

Hacker versuchen, Software-Schwachstellen auszunutzen, um ihre Privilegien zu erweitern. Stellen Sie daher sicher, dass Ihre Mitarbeiter alle Software-Updates und Patches installieren.

How To Prevent Password Spraying Attacks

Im Folgenden finden Sie einige Strategien, um zu verhindern, dass Hacker durch Passwort-Spraying-Angriffe Zugriff auf Benutzerkonten erhalten.

# 1. Befolgen Sie eine Richtlinie für sichere Passwörter

Passwort-Spraying-Angriffe zielen auf schwache Passwörter ab, die leicht zu erraten sind. Die Implementierung einer Richtlinie für sichere Passwörter zwingt Ihre Mitarbeiter dazu, sichere, komplexe Passwörter zu erstellen, die Hacker nicht erraten oder online finden können. Dadurch werden Benutzerkonten in Ihrem Unternehmen vor Passwort-Spraying-Angriffen geschützt.

Hier sind die wichtigsten Punkte, die Ihre Passwortrichtlinie beinhalten sollte:

• Passwörter sollten mindestens 12 Zeichen lang sein, einschließlich Großbuchstaben, Kleinbuchstaben und Sonderzeichen.
• Es sollte eine Passwort-Verweigerungsliste geben, was bedeutet, dass Benutzer ihre Geburtsdaten, Geburtsorte, Berufsbezeichnungen oder Namen von Angehörigen nicht in ihre Passwörter aufnehmen sollten.
• Alle Passwörter sollten nach einer bestimmten Zeitspanne ablaufen.
• Alle Benutzer müssen unterschiedliche Passwörter für unterschiedliche Konten erstellen.
• Es sollte einen Schwellenwert für die Kontosperrung geben, um Benutzerkonten zu sperren, wenn mehrere erfolglose Anmeldeversuche erfolgen.

Ein gutes umsetzen Passwort-Tool kann Benutzern dabei helfen, sichere Passwörter zu erstellen und deren Verwendung zu vermeiden gängige Passwörter.

Am besten bewertete Passwort-Manager kann Ihnen dabei helfen, festzustellen, ob Ihre Passwörter bei einem Datenverstoß offengelegt werden.

# 2. Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) fügt Konten eine zusätzliche Sicherheitsebene hinzu. Wenn MFA aktiviert ist, müssen Benutzer zusätzlich zu Benutzernamen und Passwörtern einen oder mehrere Verifizierungsfaktoren angeben, bevor sie ihnen Zugriff auf Online-Konten gewähren.

Durch die Umsetzung Multi-Faktor-Authentifizierung In Ihrem Unternehmen können Sie Online-Konten vor Brute-Force-Angriffen schützen, Wörterbuchangriffe, Passwort-Spraying-Angriffe und andere Arten von Passwort-Angriffen. Dies liegt daran, dass Bedrohungsakteure keinen Zugriff auf zusätzliche Verifizierungsfaktoren haben, die per SMS, E-Mail oder Passwort-Authentifikator-Apps gesendet werden.

Darüber hinaus kann die Multi-Faktor-Authentifizierung Ihre Online-Konten daran hindern Keylogger-Angriffe.

# 3. Implementieren Sie die passwortlose Authentifizierung

Die passwortlose Authentifizierung nutzt Biometrie, magische Links, Sicherheitstokens und mehr, um Benutzer zu authentifizieren. Da für den Zugriff auf Konten keine Passwörter verwendet werden, können Hacker keine Passwort-Spraying-Angriffe durchführen.

Daher ist die kennwortlose Authentifizierung eine narrensichere Möglichkeit, die meisten Kennwortangriffe zu verhindern. Sie können diese erkunden passwortlose Authentifizierungslösungen um Konten in Ihrem Unternehmen zu sichern.

# 4. Testen Sie die Bereitschaft, indem Sie simulierte Angriffe durchführen

Sie müssen die Bereitschaft Ihrer Mitarbeiter zur Abwehr von Passwort-Spraying-Angriffen überprüfen, indem Sie einen simulierten Passwort-Spraying-Angriff durchführen. Dies wird Ihnen helfen, Ihre Passwortsicherheitslage besser zu verstehen und die notwendigen Schritte zu unternehmen, um die Passwortsicherheit in Ihrem Unternehmen zu verbessern.

# 5. Halten Sie ein Login-Erkennungstool bereit

Dazu sollten Sie ein Echtzeit-Auditing-Tool einrichten verdächtige Anmeldeversuche erkennen. Mit dem richtigen Tool können Sie verdächtige Anmeldeversuche bei mehreren Konten von einem einzelnen Host über einen kurzen Zeitraum, Anmeldeversuche bei mehreren inaktiven Konten, zahlreiche Anmeldeversuche außerhalb Ihrer Geschäftszeiten usw. erkennen.

Sobald Sie verdächtige Anmeldeaktivitäten entdecken, können Sie Abhilfemaßnahmen ergreifen, um unbefugte Zugriffsversuche auf Ihre Konten zu blockieren. Zu diesen Aktionen können das Blockieren kompromittierter Konten, das Ändern der Fireball-Einstellungen, das Aktivieren der Multi-Faktor-Authentifizierung usw. gehören.

# 6. Trainieren Sie Ihre Mitarbeiter

Ihre Mitarbeiter spielen eine entscheidende Rolle beim Schutz der Benutzerkonten vor Passwort-Spraying-Angriffen. Alle technischen Sicherheitskontrollen, egal wie gut sie sind, funktionieren nicht, wenn Ihre Mitarbeiter keine sicheren Passwörter erstellen und für ihre Konten keine Multi-Faktor-Authentifizierung aktivieren.

Führen Sie daher regelmäßig Sensibilisierungsprogramme für Cybersicherheit durch, um Ihre Mitarbeiter über verschiedene Passwortangriffe und deren Verhinderung aufzuklären. Stellen Sie sicher, dass sie wissen, wie man ein ausreichend komplexes Passwort erstellt.

Fazit

Ein Passwort-Spraying-Angriff kann Ihrem Unternehmen schweren Schaden zufügen, einschließlich Kontokompromittierung, Datenschutzverletzung und zukünftigen Cybersicherheitsangriffen. Erhöhen Sie daher die Passwortsicherheit in Ihrem Unternehmen.

Die Durchsetzung einer strikten Passwortrichtlinie, die Implementierung von MFA, die Einführung einer passwortlosen Authentifizierung, die Einrichtung eines Tools zur Anmeldeerkennung und die Schulung Ihrer Mitarbeiter können Ihnen dabei helfen, Angriffe durch das Sprühen von Passwörtern zu verhindern.

Sie sollten auch versuchen, bei der Auswahl der Benutzernamenkonvention für Ihr Unternehmen kreativ zu sein. Hören Sie auf, das übliche zu verwenden – Vorname.Nachname@Firmenname.com.

Um die Sicherheit der Konten in Ihrem Unternehmen zu erhöhen, können Sie diese erkunden Magic-Link-Plattformen für passwortlose Authentifizierung.