מדוע האקרים לא נעצרים על ידי נעילת חשבונות

משתמשים שננעלים מחוץ לחשבון שלהם הוא תרחיש שכיח מדי. לאחר מספר שגיאות הקלדה בלבד, הם לא יכולים עוד לנסות שוב עד שיחלוף הזמן או שהם יאפסו את הסיסמאות שלהם באמצעות אימייל. עד כמה שזה מתסכל, לפחות זה עוצר האקרים - או שזה נכון?

הסטטיסטיקה מעידה אחרת. מֵעַל שליש מכלל האמריקנים חשבונות המדיה החברתית שלהם פרצו למרות מגבלות הניסיון הסטנדרטיות. מדוע ההגנות הללו לא עוצרות את פושעי הסייבר אם הם יכולים לנעול את המשתמשים בעצמם, וכיצד אנשים יכולים להישאר בטוחים?

כיצד נעילת חשבונות אמורות לעצור האקרים

נעילת חשבונות אמורות לעצור סוג של פריצה המכונה התקפת "כוח אכזרי". במקרה הפשוט ביותר, כפייה אכזרית כוללת ניסיון של שורה של קלטות אקראיות עד שמשהו עובד. לא פעם, פושעי סייבר משתמשים בכלים אוטומטיים כדי לעשות זאת, שהם הרבה יותר מהירים מאשר ניחוש ידני של סיסמאות.

הרעיון מאחורי מגבלות ניסיונות הכניסה הוא שקבלת סיסמה נכונה ייקח הרבה יותר משלושה ניחושים בערך. כתוצאה מכך, נעילת החשבון לאחר כל כך הרבה ניסיונות עוצרת באופן תיאורטי התקפות בכוח גס לפני שהן מצליחות. עם זאת, לעתים רחוקות הדברים מתרחשים כך.

איך האקרים עוקפים נעילת חשבון

פושעי סייבר יכולים להיכנס לחשבון מוגן בסיסמה בכמה דרכים. הנה כמה אסטרטגיות שבהן הם משתמשים כדי לעבור נעילת חשבון בעבר, אפילו בהתקפת כוח גס.

התקפות Brute-Force לא מקוונות

נעילת חשבון תעבוד אם האקרים ינסו לנחש סיסמה במסך הכניסה. הבעיה היא שהם לא עושים את זה לעתים קרובות. במקום זאת, הם מבצעים התקפות בכוח גס לא מקוון, שם הם גונבים נתוני סיסמאות ומנסים לפרוץ אותם בסביבה אחרת שבה אין מגבלות ניסיונות.

תוקפים לא ניתן לנעול לאחר ניסיונות כושלים מרובים כאשר יש להם את הנתונים המוצפנים הגולמיים. זה בגלל שהם לא מנסים לפענח את זה באינטרנט, שם לשרת יש את ההגנות האלה. במקום זאת, הם לוקחים רק את נתוני החשבון ומפעילים אותם בכוח על המחשב שלהם או על שרת אחר, לא מאובטח.

התקפות אלו דורשות גניבת סיסמאות מאתר תחילה, ולאחר מכן שימוש בכלי כוח גס כדי לפרוץ את ההצפנה. למרות שזה יותר מסובך מאשר פשוט לנחש אישורים באתר, זה נותן לפושעים זמן. גם אם זה ייקח מיליוני ניסיונות, הם יכולים לחשוף את הסיסמה תוך מספר ימים ואז להתחבר כמו משתמש רגיל באתר הלגיטימי.

למרבה הצער, לעתים קרובות זה לא צריך לקחת מיליוני ניסיונות. למרות שנים של אזהרות של מומחי אבטחה, ה"סיסמה" עדיין קיימת מונח הבסיס הנפוץ ביותר משמש בסיסמאות, ו-18% מהסיסמאות מכילות רק אותיות קטנות. התקפות בכוח גס לא מקוונות הופכות לרוב לקלות יותר עבור האקרים פשוט משום שמשתמשים לא עוקבים אחר שיטות העבודה המומלצות לאורך הסיסמה והמורכבות.

מלית אישורים

אפשרות נוספת היא להשתמש במילוי אישורים. כאן, האקרים לוקחים פרטי התחברות שהם יודעים שעבדו עבור חשבון אחד ומשתמשים בו כדי להיכנס לחשבון אחר. לעתים קרובות הם מקבלים את האישורים הללו מהפרות נתונים קודמות, שבהן פושעי סייבר אחרים מכרו שמות משתמש וסיסמאות גנובים ברשת האפלה.

רַק12% ממשתמשי האינטרנט העולמיים השתמש תמיד באישורים חדשים בעת פתיחת חשבון חדש. רוב האנשים משתמשים באותן סיסמאות במספר אתרים - לפעמים כולם. כתוצאה מכך, זהו הימור בטוח שקוד גישה גנוב יעבוד במקום אחר, כך שהאקרים יכולים להשתמש באחד כדי להיכנס לחשבון בניסיון אחד או שניים בלבד.

הנדסה חברתית

האקרים יכולים גם לעקוף נעילת חשבונות באמצעות הנדסה חברתית. זוהי קטגוריה רחבה כל כך של התקפות, כך שהיא יכולה לכסות מספר אסטרטגיות לגניבה או לעקוף אישורי כניסה.

הדרך הישירה ביותר היא להערים על משתמשים לספר לתוקפים את הסיסמאות שלהם על ידי התחזות למקור מהימן. לחלופין, פושעי סייבר עשויים לשלוח אימייל בטענה שהם מאתר לגיטימי עם קישור לכניסה לחשבון שלהם. עם זאת, הקישור מוביל לדף התחברות מזויף הזהה לזה האמיתי שבו פושעים יכולים לראות מה המשתמשים מקלידים.

התקפות כאלה אולי נראות מובנות מאליהן, אבל 298,878 אנשים נפלו בגלל ניסיונות דיוג בשנת 2023 בלבד. זה יותר מכל צורה אחרת של פשעי סייבר ומצביע על כך שהנדסה חברתית עדיין יעילה מאוד.

רישום מקשים והתקפות אדם-באמצע

דרך נוספת שתוקפים יכולים להימנע מנעילת חשבונות היא על ידי צפייה במשתמשים בזמן שהם מקלידים סיסמאות. יש כאן שתי גישות עיקריות - תוכנת רישום מפתחות והתקפות אדם-באמצע (MITM).

Keyloggers הם סוג של תוכנות זדוניות שפושעי סייבר עשויים לספק באמצעות דיוג, אתרים זדוניים או אמצעים אחרים. לאחר ההתקנה, הם עוקבים אחר מה המשתמשים מקלידים, כולל סיסמאות, שבהן האקרים יכולים להשתמש כדי להיכנס לחשבונות של אנשים בניסיון בודד.

התקפות MITM דומות אך כוללות יירוט קלט של משתמשים - שיכולים לכלול סיסמאות - לפני שהם מגיעים לשרת. הצפנה יכולה לעצור את ההתקפות הללו, אבל Wi-Fi ציבורי או אתרים לא מאובטחים רגישים להן.

כיצד משתמשים יכולים להישאר בטוחים?

זה בטוח לומר שהנעילת חשבון אינה מספיקה כדי לעצור האקרים. למרבה המזל, משתמשים יכולים להגן על עצמם על ידי ביצוע כמה שיטות עבודה מומלצות אחרות. בטיחות טובה יותר מתחילה בשימוש בסיסמאות חזקות יותר. מומחים ממליץ להשתמש במחוללי סיסמאות אקראיות , שכן אלה יוצרים מחרוזות מורכבות יותר של דמויות שקשה יותר להפעיל אותן.

אף פעם לא לעשות שימוש חוזר בסיסמאות ולשנות אותן מעת לעת הוא גם רעיון טוב. השלבים האלה יהפכו את מילוי האישורים לפחות יעיל.

המשתמשים צריכים גם לאפשר אימות רב-גורמי (MFA) בכל מקום זמין. זה עדיין אפשר להפעיל כוח גס בעבר MFA , אבל זה הרבה יותר קשה מאשר לעבור שילוב פשוט של שם משתמש-סיסמה.

עצירת פושעי סייבר רחוקה מלהיות פשוטה

התקפות כוח אכזריות אינן פשוטות כפי שהן נראות בהתחלה, וההגנה מפניהן היא לעתים נדירות פשוטה. בעוד שמערכת נעילת חשבון הגיונית בתיאוריה, היא לא בטוחה מספיק כדי להיות ההגנה הבלעדית בפועל.

לרשות פושעי הסייבר יש כלים רבים, ולכן הגנות חזקות משתמשות גם במספר דרכים לשמור על בטיחות. צימוד מגבלות כניסה עם סיסמאות ארוכות, מורכבות וייחודיות, MFA ושינויים תכופים באישורים יציע את האבטחה הגדולה ביותר.