Het stelen van inloggegevens – 7 Manieren van aanvallen
BLOG
Verdedigingslinie tegen het stelen van inloggegevens.
Een paar weken geleden hebben we enkele van de ergste websitehacks die we ooit hebben gezien, bekeken. Elk van hen begon met slechte wachtwoordkeuzes en escaleerde in een rampzalige gebeurtenis voor de site-eigenaar. Sterke wachtwoorden en een goede wachtwoord-hygiëne zijn vaak de eerste verdedigingslinie tegen het stelen van inloggegevens.
Wat is precies een wachtwoord?
Wachtwoorden zijn een cruciaal onderdeel van ons leven online. Je wil niet graag dat je wachtwoord is gestolen. Ze doen dienst als sleutels die toegang geven tot onze favoriete winkelsites, onze bankrekeningen, onze sociale media en e-mailaccounts en zelfs onze WordPress-sites.
Een wachtwoord wordt gebruikt om je online identiteit te bewijzen. Een gebruikersnaam fungeert als een identificatiemechanisme om een site te vertellen wie je bent, terwijl een wachtwoord optreed als een authenticatiemechanisme om te controleren of de identiteit die je beweert te zijn echt en authentiek jouw identiteit is.
Het is ongelooflijk belangrijk om je wachtwoorden te beveiligen en de best practices voor wachtwoorden te volgen. Wachtwoorden beschermen je online identiteit. Als een van jouw wachtwoorden wordt gecompromitteerd, kunnen aanvallers toegang krijgen tot online accounts en gevoelige informatie, wat onherstelbare schade toebrengt aan je bedrijf, je levensonderhoud en zelfs je persoonlijke identiteit.
Wat zijn enkele veel voorkomende aanvalsmethoden om je wachtwoord te stelen?
Het maakt niet uit wat voor soort wachtwoordaanval er wordt gebruikt, het einddoel voor de aanvaller is om jouw identiteit te “spoofen” door je gecompromitteerde wachtwoord te gebruiken en zich met succes te authenticeren zoals jij dat doet. Hier zijn de meest voorkomende methoden om wachtwoorden te stelen of te compromitteren om ongeautoriseerde toegang te krijgen.
Aanvalstype #1: Credentiële Stuffing
Credential stuffing treedt op wanneer een aanvaller al toegang heeft tot gebruikersnaam- en wachtwoordcombinaties die vaak worden verkregen uit data-inbreuken. Bij dit soort aanvallen sturen aanvallers geautomatiseerde verzoeken met deze gebruikersnaam- en wachtwoordcombinaties om te proberen zich met succes te authentiseren als jouw account. Indien succesvol, kunnen aanvallers je gevoelige gegevens stelen, wijzigingen aanbrengen op je account of zich zelfs voordoen als jouw. Een doelgerichte aanval met een geloofsbriefje kan binnen één enkele poging slagen, terwijl een grootschalige campagne miljoenen combinaties tegen één enkele site kan uitproberen. Als je een aanval met geloofsbrieven wilt tegengaan, moet je ervoor zorgen dat je geen wachtwoorden hergebruikt op andere sites. Bewaak je referenties om te controleren of ze niet zijn blootgesteld aan een data-inbreuk met een service zoals haveibeenpwned.com. Als uw wachtwoorden ooit gecompromitteerd zijn, verander ze dan onmiddellijk.
Aanvalstype #2: Technieken voor het kraken van wachtwoorden
Er zijn verschillende technieken voor het kraken van wachtwoorden die aanvallers gebruiken om wachtwoorden voor systemen en accounts te “raden”. De top drie van meest voorkomende wachtwoord kraaktechnieken die we zien zijn brute kracht aanvallen, woordenboek aanvallen, en regenboogtabel aanvallen.
In een woordenboekaanval gebruikt een aanvaller een woordenlijst met woorden en combinaties van woorden uit het woordenboek om te proberen het wachtwoord te raden. Ze kunnen gebruik maken van enkele woorden uit het woordenboek of een combinatie van woorden uit het woordenboek, maar de eenvoud van het hebben van een woordenlijst is wat dit een aantrekkelijke aanvalsmethode voor aanvallers maakt.
Een aanval met brute kracht gaat iets verder dan een aanval met een woordenboek. Een aanvaller zal verschillende combinaties van letters, cijfers en speciale tekens proberen om het juiste wachtwoord te “raden”. Het opzetten van middelen om brute force-aanvallen te automatiseren is eenvoudig en goedkoop, en aanvallers komen meestal terecht in grote databases met referenties omdat gebruikers zwakke wachtwoorden gebruiken.
Regenboogtabel aanval
Een regenboogtabelaanval treedt op wanneer een aanvaller gebruik maakt van een voorgecompileerde tabel met hashes op basis van gemeenschappelijke wachtwoorden, woorden uit het woordenboek en voorgecompileerde wachtwoorden om te proberen een wachtwoord te vinden op basis van de hash. Dit gebeurt meestal wanneer een aanvaller in staat is om toegang te krijgen tot een lijst met hashes wachtwoorden en de wachtwoorden zeer snel wil kraken. In veel gevallen bevatten de gehashte wachtwoorden alleen maar een code, dus aanvallers zullen vaak gebruik maken van regenboogtabelaanvallen om de plaintext-versies van deze wachtwoorden te achterhalen voor later gebruik in een codeaanval.
Het kraken van wachtwoorden komt vrij vaak voor en is een van de meest voorkomende soorten aanvallen naast de credential stuffing. WordPress-sites zijn vaak zwaar getroffen door deze aanvallen. Zwakke wachtwoorden kunnen seconden duren om te kraken met de juiste tools, waardoor het ongelooflijk belangrijk is om sterke, unieke wachtwoorden te gebruiken op alle sites.
Aanvalstype #3: Schoudersurfen
Schoudersurfen treedt op wanneer een kwaadwillende toeschouwer de gevoelige informatie die je intypt op je toetsenbord of op je scherm van over de schouder observeert.
Dit kan overal gebeuren, of het nu in een kantoorruimte is, in een coffeeshop, in een vliegtuig, enz. Overal waar je toegang hebt tot gevoelige informatie of deze invoert terwijl je je in een openbare ruimte bevindt, daar kunnen je wachtwoorden in gevaar komen. Als je je niet bewust bent van je omgeving bij het inloggen op locaties in de openbare ruimte, of in je kantoor, dan kan je het slachtoffer worden van deze aanval.
Wees je bewust van jouw omgeving wanneer je je aanmeldt bij sites of bronnen en zorg ervoor dat niemand je in de gaten houdt. Privéschermen die de zichtbaarheid van het scherm blokkeren, kunnen een bescherming bieden als je vaak in de openbare ruimte werkt.
Aanvalstype #4: Sociaal Engineering
Sociaal engineering richt zich op de zwakste schakel in de beveiliging: de mens. Deze aanvallen komen ongelooflijk vaak voor en zijn vaak vrij succesvol. Sociaal engineering is in de eerste plaats een psychologische aanval waarbij mensen worden misleid om een actie uit te voeren die ze anders misschien niet zouden doen op basis van sociaal vertrouwen. Zo kan een aanvaller zich een weg banen naar een fysieke bedrijfsruimte. Eenmaal binnen kunnen ze een werknemer benaderen en zeggen dat ze een probleem met een zeer specifieke dienst aan het oplossen zijn, en dat hun wachtwoorden niet werken.
Sociaal engineering kan op vele manieren gebeuren, onder andere persoonlijk, via de telefoon, via sociale media, via e-mail phishing. Om jezelf te beschermen, controleer je de identiteit van iedereen die om gevoelige informatie of wachtwoorden vraagt. Deel nooit gevoelige informatie, vooral je wachtwoorden, met iemand die je niet kent, niet vertrouwt of niet kunt verifiëren. Indien mogelijk, deel nooit met iemand je wachtwoorden, zelfs niet als je ze wel vertrouwt.
Als je medewerkers hebt, laat ze dan deelnemen aan een beveiligingsbewustzijnstraining om te leren hoe ze verschillende sociaal engineeringaanvallen kunnen herkennen en om zich voor te bereiden op het melden en waarschuwen van anderen wanneer een verdachte sociaal engineering-aanval gericht is op een organisatie.
Geef nooit gevoelige informatie of wachtwoorden aan vreemden, ongeacht wie ze beweren te zijn. Als een helpdeskmedewerker je belt en zegt dat hij jouw gegevens nodig heeft, controleer dan eerst met je baas of zeg gewoon nee. In de meeste gevallen hebben gerenommeerde serviceproviders alternatieve manieren om informatie te verkrijgen waarvoor jouw gegevens niet nodig zijn.
Aanvalstype #5: Phishing
Hoewel het vaak wordt beschouwd als een subcategorie van maakbaarheid, komt phishing zo vaak voor dat het een eigen “aanvalscategorie” verdient. Phishing treedt op wanneer een aanvaller een e-mail bewerkt om er uit te zien alsof deze afkomstig is van een rechtmatige bron om het slachtoffer te verleiden tot het klikken op een link of het verstrekken van gevoelige informatie zoals wachtwoorden, sofi-nummers, bankrekeninggegevens, en nog veel meer. Deze e-mails kunnen variëren van prachtig gemaakt en onmerkbaar dicht bij het echte werk tot lachwekkend eenvoudig en duidelijk nep.
Gerichte phishing-aanvallen, bekend als spear phishing, zijn ongelooflijk effectief en lijken vaak afkomstig te zijn van een vertrouwde bron zoals een baas of collega. Als je een e-mail ontvangt van iemand die je vertrouwt en die om iets ongewoons vraagt, controleer dan of deze is verstuurd door de persoon die hem leek te hebben gestuurd door hem te bellen, persoonlijk met hem te praten of een andere communicatiemethode te gebruiken.
Controleer de bron van elke e-mail die je ontvangt door de e-mailkoppen te controleren. We raden u ook aan om geen gevoelige informatie te verstrekken aan iemand die je niet volledig vertrouwt. Klik nooit op links in e-mails, want die kunnen vaak leiden tot phishingsets die zijn ontworpen om je gegevens te verzamelen en aan aanvallers te overhandigen. Om de geldigheid van de naar je gemailde informatie te controleren, sluit u je e-mail en typ de naam van de instelling die de e-mail naar verluidt heeft verzonden in de locatiebalk van je browser om in te loggen op hun site.
Aanvalstype #6: Wireless Sniffing (afluisteren)
Een aanvaller die gebruik maakt van tools om netwerkverkeer te onderzoeken, kan het netwerk “afluisteren” om de verzonden gegevenspakketten vast te leggen en te lezen. Draadloos afluisteren legt gegevens vast die worden verzonden tussen de computer van een nietsvermoedende gebruiker en de server waar de client het verzoek om doet. Als een site geen TLS/SSL-certificaat gebruikt, kan een aanvaller met deze tools eenvoudig je wachtwoorden verkrijgen door de verzonden pakketten vast te leggen.
Gebruik een VPN bij het benaderen van sites op publieke wifi, zodat een aanvaller je gegevens niet gemakkelijk kan vastleggen en lezen. Als je WordPress-site geen TLS/SSL-certificaat gebruikt, worden je WordPress-referenties in platte tekst verzonden wanneer je inlogt. Zorg ervoor dat je een TLS/SSL-certificaat op je WordPress-site hebt geïnstalleerd om de gegevens van jouw sitebezoekers, inclusief wachtwoorden, veilig te bewaren.
Aanvalstype #7: Man-in-the-Middle aanval
Een Man-in-the-Middle-aanval treedt op wanneer een aanvaller verkeer onderschept, optreedt als de ontvangende server van verzoeken en vervolgens al het verkeer observeert dat naar de server wordt gestuurd die hij aanvalt, voordat hij de pakketten doorstuurt naar de legitieme server. Dit kan in veel verschillende situaties gebeuren, van het benaderen van een website vanuit je huis tot het benaderen van bronnen in een kantoor.
Je beste bescherming als het gaat om man-in-the-middle aanvallen is ervoor te zorgen dat de site die je bezoekt wordt vertrouwd en dat het SSL/TLS-certificaat dat op de site is geïnstalleerd, geldig is. Google zal je waarschuwen als er iets verdachts is aan het SSL/TLS-certificaat op een site, dus als je die waarschuwing krijgt, zorg er dan voor dat je geen gevoelige informatie of wachtwoorden in die site invoert. Je kunt ook een VPN gebruiken, zodat je gegevens gecodeerd blijven wanneer je een netwerk doorkruist.
Conclusie
Vandaag hebben we enkele van de meest gebruikte technieken voor het stelen van wachtwoorden behandeld. Inzicht in deze aanvalstypes is belangrijk om te weten hoe hackers toegang kunnen krijgen tot je wachtwoorden. Door beter te begrijpen wat aanvallers doen, kan je beter begrijpen wat je moet doen om jezelf te beschermen tegen het compromitteren van wachtwoorden.
Wachtwoorddiefstal treft iedereen. Door dit bericht te delen, kunnen we hopelijk het bewustzijn over wachtwoordbeveiliging en het belang ervan vergroten en het internet een betere en veiligere plek voor iedereen maken. Op deze manier kunnen we het stelen van inloggegevens misschien helpen voorkomen.
En waar het kan zorg voor Two-Factor Authenticatie (2FA). Het vermindert drastisch de kans dat aanvallers toegang krijgen tot je gegevens, zelfs als ze je gebruikersgegevens hebben gestolen.
