Olika tillvägagångssätt vid stöld av lösenord

logo

Av Kaj Johnson

Arbetat som tekniker, konsult och IT-chef i över 25 år inom företag såsom Cap Gemini, Associated Press och Rezidor Hotel Group.

2020-10-03

Läs om olika tillvägagångssätt hur Ditt lösenord kan stjälas.
Ett användarnamn fungerar som en identifieringsmekanism för att berätta för en webbplats vem du är, medan ett lösenord fungerar som en autentiseringsmekanism för att verifiera att identiteten du gör anspråk på verkligen är du.

Oavsett vilken typ av lösenordsattack som används så är slutmålet för angriparen att ”spoofa”, dvs stjäla din identitet genom att använda ditt lösenord och utge sig för att vara dig.

Attackmetod #1: ”Credential stuffing”

”Credential stuffing” sker när en angripare redan har tillgång till användarnamn och lösenord som vanligtvis läckts från ett dataintrång. I den här typen av attacker skickar angripare automatiserade förfrågningar som innehåller användarnamnet och lösenordet för att försöka logga in. Om det lyckas kan angripare stjäla dina känsliga uppgifter, göra ändringar i ditt konto eller till och med att utge sig för att vara dig.

Se till att du inte återanvänder lösenord på olika webbplatser för att bekämpa ”credential stuffing”. Kontrollera dina uppgifter för att verifiera att de inte har blivit utsatta för ett dataintrång med en tjänst såsom haveibeenpwned.com. Om dina lösenord någonsin äventyras, ändra dem omedelbart.

Attackmetod #2: ”Password cracking”

Det finns flera ”password cracking”-metoder som en angripare använder för att ”gissa” lösenord till system och konton. De tre vanligaste ”password cracking”-metoderna är brute force-attacker, ordbokattacker och rainbow-tabellattacker.

I en ordboksattack använder en angripare en ordlista med ord och kombinationer av ordboksord för att försöka gissa lösenordet. De kan använda enstaka ordboksord eller en kombination, men enkelheten med att ha en ordlista är det som gör detta till en attraktiv attackmetod för angripare.

En brute force-attack tar saker lite längre än vid en ordboksattack En angripare kommer att prova olika kombinationer av bokstäver, siffror och specialtecken för att försöka ”gissa” rätt lösenord. Att etablera resurser för att automatisera brute force-attacker är enkelt och billigt och angripare får vanligtvis fram stora databaser med lösenord på grund av att användare använder svaga lösenord.

En attack med rainbow tabeller inträffar när en angripare använder en hashtabell baserat på vanliga lösenord, ordboksord och lösenord för att försöka hitta ett lösenord baserat på dess hash. Detta inträffar vanligtvis när en angripare kan få tillgång till en lista med hashade lösenord och vill knäcka lösenorden mycket snabbt. I många fall innehåller läckta lösenord vid dataintrång endast hashade lösenord, så angripare använder ofta attacker från rainbow tabeller för att upptäcka klartextversionerna av dessa lösenord för senare användning med ”credential stuffing”.

”Password cracking”-attacker är mycket vanliga och en av de vanligaste typerna av attacker tillsammans med ”credential stuffing”. WordPress-webbplatser är ofta offer för dessa attacker.

Svaga lösenord kan ta några sekunder att dekryptera med rätt verktyg, vilket gör det oerhört viktigt att använda starka, unika lösenord på alla webbplatser.

Attackmetod #3: ”Shoulder surfing”

”Shoulder surfing” sker när en åskådare observerar den känsliga informationen du skriver på tangentbordet eller på skärmen över axeln.

Detta kan inträffa var som helst, oavsett om det är på ett kontorsutrymme, i ett kafé, på ett flygplan etc. När som helst du anger känslig information i samband med att du är på en offentlig plats kan riskera dina lösenord. Om du inte känner till din omgivning när du loggar in på platser i allmänna utrymmen eller på ditt kontor kan du bli offer för denna attack.

Var medveten om din omgivning när du autentiserar till webbplatser eller resurser och se till att ingen tittar på dig.

Attackmetod #4: ”Social engineering”

”Social engineering” riktar sig till den svagaste länken i säkerhetsarbetet: människor. Dessa attacker är oerhört vanliga och ofta mycket framgångsrika. ”Social engineering” är främst en psykologisk attack som lurar människor att utföra en handling som de annars inte skulle kunna göra baserat på ett visst förtroende. En angripare kan till exempel ta sig in i en företags kontor och kontakta en anställd och säga att de felsöker ett problem med en mycket specifik tjänst och att deras uppgifter inte fungerar.

”Social engineering” kan ske på många sätt; personligen, via telefon, via sociala medier eller via nätfiske. Dela aldrig känslig information, särskilt dina lösenord, med någon du inte känner, inte litar på eller inte kan verifiera – om det är möjligt ska du aldrig dela dina lösenord med någon, även om du litar på dem.

Om du har anställda, låt dem delta i utbildning för säkerhetsmedvetenhet för att lära sig att känna igen olika former av attacker och förbereda sig för att rapportera och varna andra när en misstänkt attack riktar sig mot organisationen.

Ge aldrig känslig information eller lösenord till främlingar, oavsett vem de påstår sig vara. Om en helpdesktekniker ringer till dig och säger att de behöver dina uppgifter ska du först kontrollera med din chef eller bara säga nej. I de flesta fall har ansedda tjänsteleverantörer alternativa sätt att få fram information som inte kräver dina loginuppgifter.

Attackmetod #5: ”Phishing”

Även om det ofta betraktas som en underkategori av ”Social engineering” så är nätfiske så utbrett att det förtjänar sin egen ”attack”-kategori. ”Phishing” inträffar när en angripare skapar ett e-postmeddelande för att det skall se ut som om det kommer från en legitim källa för att lura offret att klicka på en länk eller tillhandahålla känslig information som lösenord, personnummer, bankkontouppgifter osv. Dessa e-postmeddelanden kan variera från vara noggrant utformade och nästan identiska med den riktiga källan till att vara skrattretande enkla och uppenbarligen falska.

Riktade nätfiskeattacker, så kallade ”Spear phishing”, är otroligt effektiva och verkar ofta komma från en pålitlig källa såsom en chef eller kollega. Om du får ett e-postmeddelande från någon du litar på och som ber om något ovanligt, kontrollera då att det verkligen skickades av den personen genom att ringa dem, prata med dem personligen eller använda någon annan kommunikationsmetod.

Verifiera alltid källan av alla e-postmeddelanden du får genom att kontrollera de s.k. ”headers”. Klicka aldrig direkt på länkar i e-postmeddelanden eftersom de ofta är utformade för att samla in dina uppgifter och skicka dessa till angriparen. Stäng e-postmeddelandet och skriv namnet på den institution som påstås ha skickat e-postmeddelandet i din webbläsares platsfält för att logga in på deras webbplats.

Attackmetod #6: ”Wireless sniffing”

En angripare som använder verktyg för att undersöka nätverkstrafik kan ”sniffa” nätverket för att fånga upp och läsa datapaket som skickats. ”Wireless sniffing” fångar data som skickas mellan en intet ont anande dator och servern som klienten begär. Om en webbplats inte använder ett TLS/SSL-certifikat kan en angripare med detta verktyg enkelt få dina lösenord bara genom att avlyssna de paket som skickas.

Använd VPN när du öppnar webbplatser på offentliga Wi-Fi platser så att en angripare inte kan fånga och läsa dina data. Om din WordPress-webbplats inte använder ett TLS/SSL-certifikat så skickas dina WordPress-loginuppgifter i klartext.

Attackmetod #7: ”Man-in-the-Middle”

En ”Man-in-the-Middle”-attack inträffar när en angripare avlyssnar trafik och fungerar som den mottagande servern innan den vidarebefordrar paketen till den legitima servern. Detta kan inträffa i många olika situationer, från åtkomst till en webbplats i ditt hem till åtkomst av resurser på ett kontor.

Ditt bästa skydd när det gäller ”Man-in-the-Middle”-attacker är att säkerställa att webbplatsen du besöker är tillförlitlig och att SSL/TLS-certifikatet som är installerat på webbplatsen är giltigt. Google varnar dig om det finns något misstänkt med certifikatet, så om du får den varningen, se till att undvika att lämna känslig information eller lösenord på den webbplatsen. Du kan också använda VPN så att dina data förblir krypterade när de passerar de olika nätverken.