Dlaczego hakerzy nie są zatrzymywani przez blokady kont

Użytkownicy zostają zablokowani na swoich kontach, co jest zbyt powszechnym scenariuszem. Po kilku literówkach nie mogą już próbować ponownie, dopóki nie minie czas lub nie zresetują haseł za pomocą wiadomości e-mail. Choć jest to frustrujące, przynajmniej powstrzymuje hakerów — czy na pewno?

Statystyki sugerują co innego. Ponad jedna trzecia wszystkich Amerykanów ich konta w mediach społecznościowych zostały zhakowane pomimo standardowych limitów prób. Dlaczego te zabezpieczenia nie powstrzymują cyberprzestępców, skoro mogą sami zablokować użytkowników, i jak ludzie mogą zachować bezpieczeństwo?

Jak blokady kont mają powstrzymać hakerów

Blokady kont mają na celu zatrzymanie typu hack znanego jako atak „brute-force”. W najprostszej formie, brute force polega na próbie ciągu losowych danych wejściowych, aż coś zadziała. Cyberprzestępcy najczęściej używają do tego celu zautomatyzowanych narzędzi, które są znacznie szybsze niż ręczne zgadywanie haseł.

Pomysł stojący za limitami prób logowania polega na tym, że poprawne podanie hasła zajmie znacznie więcej niż trzy próby. W związku z tym zablokowanie konta po tak wielu próbach teoretycznie zatrzymuje ataki siłowe, zanim się powiodą. Jednak rzadko tak się dzieje.

Jak hakerzy obchodzą blokady kont

Cyberprzestępcy mogą dostać się na konto chronione hasłem na kilka sposobów. Oto kilka strategii, których używają, aby ominąć blokady kont, nawet w ataku siłowym.

Ataki siłowe offline

Blokady kont zadziałałyby, gdyby hakerzy próbowali odgadnąć hasło na ekranie logowania. Problem polega na tym, że nie robią tego często. Zamiast tego wykonują ataki siłowe offline, w których kradną dane hasła i próbują je przełamać w innym środowisku, w którym nie ma limitów prób.

Napastnicy nie można zablokować po wielu nieudanych próbach, gdy posiadają surowe zaszyfrowane dane. Dzieje się tak, ponieważ nie próbują ich odszyfrować online, gdzie serwer ma te zabezpieczenia. Zamiast tego biorą tylko dane konta i atakują je metodą brute force na swoim własnym komputerze lub na innym, niezabezpieczonym serwerze.

Ataki te wymagają kradzieży haseł ze strony internetowej, a następnie użycia narzędzi brute force do złamania szyfrowania. Chociaż jest to bardziej skomplikowane niż po prostu zgadywanie danych uwierzytelniających na miejscu, daje to przestępcom czas. Nawet jeśli zajmie to miliony prób, mogą ujawnić hasło w ciągu kilku dni, a następnie zalogować się jak normalny użytkownik na legalnej stronie.

Niestety, często nie trzeba podejmować milionów prób. Pomimo wieloletnich ostrzeżeń ekspertów ds. bezpieczeństwa, „hasło” nadal jest najczęstszy termin bazowy używane w hasłach, a 18% haseł zawiera tylko małe litery. Ataki siłowe offline są często łatwiejsze dla hakerów po prostu dlatego, że użytkownicy nie stosują się do najlepszych praktyk dotyczących długości i złożoności haseł.

Wypełnianie danych uwierzytelniających

Inną opcją jest użycie credential stuffing. Tutaj hakerzy biorą dane logowania, o których wiedzą, że działały dla jednego konta i używają ich, aby dostać się do innego. Często uzyskują te dane uwierzytelniające z poprzednich naruszeń danych, gdzie inni cyberprzestępcy sprzedawali skradzione nazwy użytkowników i hasła w dark webie.

Tylko12% globalnych użytkowników Internetu zawsze używaj nowych danych uwierzytelniających przy otwieraniu nowego konta. Większość osób używa tych samych haseł na wielu stronach — czasami na wszystkich. W rezultacie można z dużym prawdopodobieństwem założyć, że skradziony kod dostępu zadziała gdzie indziej, więc hakerzy mogą użyć go do zalogowania się na konto w zaledwie jednej lub dwóch próbach.

Inżynieria społeczna

Hakerzy mogą również obejść blokady kont za pomocą inżynierii społecznej. Jest to tak szeroka kategoria ataków, że może obejmować kilka strategii kradzieży lub ominięcia danych logowania.

Najbardziej bezpośredni sposób polega na oszukaniu użytkowników, aby podali atakującym swoje hasła, podszywając się pod zaufane źródło. Alternatywnie, cyberprzestępcy mogą wysłać wiadomość e-mail, podając się za pochodzącą z legalnej witryny, z linkiem do logowania się na ich konto. Jednak link prowadzi do fałszywej strony logowania identycznej z prawdziwą, na której przestępcy mogą zobaczyć, co użytkownicy wpisują.

Takie ataki mogą wydawać się oczywiste, ale 298 878 osób padło ofiarą prób phishingu tylko w 2023 r. To więcej niż jakakolwiek inna forma cyberprzestępczości i sugeruje, że inżynieria społeczna jest nadal wysoce skuteczna.

Keylogging i ataki typu Man-in-the-Middle

Innym sposobem, w jaki atakujący mogą uniknąć blokad kont, jest obserwowanie użytkowników, gdy wpisują hasła. Istnieją dwa główne podejścia — oprogramowanie do rejestrowania naciśnięć klawiszy i ataki typu man-in-the-middle (MITM).

Keyloggery to forma złośliwego oprogramowania, które cyberprzestępcy mogą dostarczać za pośrednictwem phishingu, złośliwych witryn lub w inny sposób. Po zainstalowaniu śledzą, co użytkownicy wpisują, w tym hasła, których hakerzy mogą użyć do zalogowania się na konta ludzi za jednym razem.

Ataki MITM są podobne, ale obejmują przechwytywanie danych wprowadzanych przez użytkowników — które mogą obejmować hasła — zanim dotrą do serwera. Szyfrowanie może zatrzymać te ataki, ale publiczne Wi-Fi lub niezabezpieczone witryny są na nie podatne.

Jak użytkownicy mogą zachować bezpieczeństwo?

Można śmiało powiedzieć, że blokady kont nie wystarczą, aby powstrzymać hakerów. Na szczęście użytkownicy mogą się chronić, stosując kilka innych najlepszych praktyk. Lepsze bezpieczeństwo zaczyna się od używania silniejszych haseł. Eksperci polecamy korzystanie z generatorów losowych haseł , ponieważ tworzą one bardziej złożone ciągi znaków, które trudniej złamać metodą siłową.

Nigdy nieużywanie ponownie haseł i okresowa ich zmiana to również dobry pomysł. Te kroki sprawią, że credential stuffing będzie mniej skuteczny.

Użytkownicy powinni również włączyć uwierzytelnianie wieloskładnikowe (MFA) wszędzie tam, gdzie jest to możliwe. Nadal jest możliwe jest siłowe obejście MFA , ale jest to o wiele trudniejsze niż ominięcie prostej kombinacji nazwy użytkownika i hasła.

Zatrzymanie cyberprzestępców wcale nie jest takie proste

Ataki siłowe nie są tak proste, jak się wydaje na pierwszy rzut oka, a obrona przed nimi rzadko jest prosta. Podczas gdy system blokowania kont ma sens w teorii, w praktyce nie jest wystarczająco bezpieczny, aby być jedyną obroną.

Cyberprzestępcy dysponują wieloma narzędziami, więc silne zabezpieczenia również wykorzystują wiele sposobów na zachowanie bezpieczeństwa. Połączenie limitów logowania z długimi, złożonymi i unikalnymi hasłami, MFA i częstymi zmianami poświadczeń zapewni największe bezpieczeństwo.