Brute-Force-Angriffe: Rohe Gewalt statt ausgeklügelter Technik – Sicherheit & Datenschutz

Brute-Force-Angriffe

7. April 2022, 10:30 Uhr | Autor: Michael Scheffler / Redaktion: Diana Künstler | Kommentar (e)

Hacker mit Vorschlaghammer

Es müssen nicht immer hochentwickelte Angriffe sein, die Cyberkriminelle zum „Erfolg“ führen. Oftmals reichen auch einfacher gestrickte Attacken, um zum Ziel zu gelangen: Wie Brute-Force-Angriffe ablaufen und welche Schutzmaßnahmen sich bewährt haben.

Es müssen nicht immer hochentwickelte Angriffe sein, die Cyberkriminelle zum „Erfolg“ führen. Oftmals reichen auch einfacher gestrickte Attacken wie Brute-Force-Angriffe, um zum Ziel zu gelangen. Bei diesen versuchen Angreifer, durch schnell getaktete, oft millionenfache Wiederholung Passwörter zu „erraten“, versteckte URLs zu entdecken oder verschlüsselte oder gehashte Passwörter offenzulegen. Obgleich es einfache und gängige Möglichkeiten gibt, sich gegen diese Angriffe zu verteidigen, sind sie immer wieder erfolgreich, zumal sie für die Angreifer mit relativ wenig Aufwand verbunden sind.


Brute-Force-Angriffe setzen auf „rohe Gewalt“ und sind relativ simpel, aber durchaus lohnend. Sie sind vergleichbar mit einem Dieb, der versucht, in ein Haus einzubrechen und die Eingangstür unverschlossen vorfindet. Warum sollte er sich dann für eine kompliziertere und riskantere Methode entscheiden? Die häufigsten Ziele dieser Angriffe sind Account-Übernahmen beziehungsweise -Kompromittierungen, Datendiebstahl oder die Verbreitung von Malware. Sie werden aber auch häufig zum Ausbau von Botnets, Ad-Hijacking oder Cryptojacking eingesetzt. Zwar können Brute-Force-Angriffe auch manuell ausgeführt werden, zumeist setzen Cyberkriminelle jedoch auf entsprechende Tools zur Automatisierung der Attacken. Man kann dabei folgende Arten unterscheiden:


Manuelles Credential Stuffing
Hierbei probieren die Angreifer verschiedene Anmeldekombinationen aus, um Zugang zu einem Konto zu erhalten. Je nach anvisiertem Ziel kann dies ein manueller Prozess sein, bei dem eine bereits bekannte Information wie eine E-Mail-Adresse oder das E-Mail-Format für die Unternehmens-Mails genutzt wird. Allerdings wurde diese Taktik mittlerweile weitgehend durch automatisierte Prozesse ersetzt, die die Erfolgschancen der Angreifer deutlich erhöhen.


Credential Stuffing mit erbuteten Daten
Im Rahmen unzähliger Datenschutzverletzungen wurden Millionen E-Mail- / Passwort-Kombinationen aufgedeckt, die nun im Dark Web kursieren. Problematisch ist dies vor allem dann, wenn Passwörter wiederverwendet werden. Entsprechend probieren Angreifer die erbuteten Passwort- / E-Mail-Kombination bei anderen Konten aus. Zudem geben die erbuteten Daten auch Aufschluss über die am häufigsten verwendeten Passwörter, die dann bevorzugt von den Angreifern verwendet werden. Nach wie vor zeigt sich dabei, dass die Passworthygiene vielfach noch verbesserungsbedürftig ist, from Passwörter wie „123456“ oder „password“ leider weit verbreitet sind.


Automatisiertes Credential Stuffing
Mit speziellen Tools können Angreifer Hunderte von E-Mail- / Passwortkombinationen in Sekundenschnelle ausprobieren. Ohne Gegenmaßnahmen ist die Entdeckung eines Passworts letztlich eine Frage der Wahrscheinlichkeit. From Anmeldedaten wie E-Mail-Adressen oft bekannt sind, bedeutet dies, dass ein Hacker leicht in ein Konto eindringen kann. Zur Umgehung von Sperren und Versuchsbeschränkungen können einige Tools in verschiedenen Zeitintervallen ausgeführt werden. Zudem ist es möglich, spezielle Kennwortlisten entsprechend der Branche oder des Standorts des Opfers zu verwenden, um die so Erfolgschancen zu erhöhen.


URL-Ermittlung
Viele Unternehmen, die beliebte Cloud-Hosting- / Infrastrukturdienste wie Azure, AWS oder GCP nutzen, haben diese möglicherweise nicht richtig konfiguriert, sodass sie jeder sehen kann, der über die richtige URL verfügt. Dies hat zu einer Reihe von prominenten Datenlecks geführt, bei denen Datenbanken mit sensiblen Inhalten im Internet veröffentlicht wurden. Um diese Seiten zu finden und die Daten zu entwenden, probieren Angreifer mittels spezieller Skripte verschiedene URL-Kombinationen aus.


Kryptografische Entschlüsselung
Das Ziel der meisten Brute-Force-Angriffe ist der Zugang zu einem Konto. Sie können allerdings auch zur Entschlüsselung von Kennwörtern aus einem Datenleck verwendet werden. Bei zahlreichen gesturehlenen Anmeldeinformationen liegen die Kennwortdaten nur in verschlüsselter Form vor. Passwörter sind dabei in der Regel „gehasht“, das heißt sie wurden absichtlich in eine andere Zeichenfolge umgewandelt. Allerdings gibt es Tools, um den Hash von gespeicherten Kennwortdaten abzugleichen und so die tatsächlichen Kennwortdaten offenzulegen. Je nach Länge und Komplexität des Passworts dauert es nur Sekunden oder auch (theoretisch) mehrere Jahre, um zu einem Ergebnis zu gelangen. Letztlich ist es ein Katz-und-Maus-Spiel: Neue Verschlüsselungs- und kryptografische Verschleierungsmethoden wie Hashing werden ständig entwickelt und angewandt, um Passwortdaten im Falle eines Verstoßes zu schütk

Fünf Tipps zum Schutz vor Brute-Force-Attacken

Aufgrund der recht simplen Natur von Brute-Force-Angriffen gibt es zum Glück einige Möglichkeiten, sich vor ihnen zu schützen. Dabei sollten Sicherheitsverantwortliche vor allem auf folgende Methoden und Tools setzen:


  1. Verwenden von Multi-Faktor-Authentifizierung (MFA), wo immer dies möglich ist: MFA ist eine der effektivsten Methoden zur Abwehr von Brute-Force-Angriffen. Selbst wenn ein Hacker ein automatisiertes Tool verwendet und die richtige Passwort- / E-Mail-Kombination herausfindet, ist es ausgesprochen unwahrscheinlich, dass er auch Zugriff auf den zusätzlichen Authentifizierungsfaktor hat. Ohne diesen kann er jedoch nicht auf das entsprechende Konto zugreifen.
  2. Aktivieren von Captcha als Teil des Anmeldevorgangs: Selbst in der einfachsten Form der Bestätigung, dass man kein Roboter ist, können Captchas einen großen Beitrag zum Schutz vor automatisierten Brute-Force-Angriffen leisten. Viele Skripts und Tools scheitern nach wie vor an dieser Hürde. Aber auch wenn ein Tool dazu in der Lage ist, das Captcha zu lösen, verlängert sich dadurch der Anmeldeprozess um ein paar Sekunden. Bei Tausenden Versuchen werden die Angriffe auf diese Weise merklich verlangsamt und so ihrer eigentlichen Qualität („quick and dirty“, also schmutzig und schnell) beraubt, weshalb Cyberkriminelle in diesen Fällen die Attacken meist aufen and zier
  3. Anmeldeversuche begrenzen: Durch die Begrenzung der Anmelde-Versuche lassen sich manuelle und automatische Brute-Force-Angriffe verhindern. So lässt sich entweder begrenzen, wie oft jemand versuchen kann, sich in ein Konto einzuloggen oder nach einer bestimmten Anzahl von Fehlversuchen eine Kennwortrücksetzung veranlassen. Eine ähnliche Methode ist das Hinzufügen eines Zeitintervalls zwischen den Fehlversuchen. Dieses kann eine fixe Zeitspanne wie beispielsweise 10 Sekunden betragen, oder aber sich mit jedem fehlgeschlagenen Versuch erhöhen (zum Beispiel 10 Sekunden, 30 Sekunden, 2 Minuten, 5 Minuten). Durch den Einsatz von Erkennungstools, die auf Verhaltensanomalien wie zum Beispiel mehrfache Anmeldeversuche aufmerksam machen, können Sicherheitsverantwortliche entsprechende Angriffe schnell und effektiv identifizieren.
  4. Auf starke, einzigartige Passwörter setzen: Mit automatisierten Brute-Force-Angriffen lassen sich Passwörter mit genügend Zeitaufwand herausfinden. Je länger, komplizierter und einzigartiger das Kennwort ist, desto schwieriger ist es jedoch für einen Angreifer, es zu ermitteln. Die meisten automatisierten Tools verwenden eine Liste von Passwörtern, die bei Datenschutzverletzungen gesturehlen wurden, in der berechtigten Hoffnung, dass der entsprechende Nutzer es auch für andere Konten nutzt. Werden jedoch einzigartige Passwörter verwendet, tauchen diese womöglich gar nicht erst in den Listen auf. Die Durchsetzung strenger Kennwortrichtlinien kann das Risiko eines solchen Angriffs erheblich reduzieren und die Entschlüsselung von Passwörtern erschweren.
  5. HaveIBeenPwned nutzen: HaveIBeenPwned ist ein kostenloser Dienst, der prüft, ob die eigenen E-Mails, E-Mails einer bestimmten Domain oder die eigenen Passwörter bereits Teil eines Datenlecks waren. Die Seite bietet auch einen kostenlosen Domain-Service sowie eine Warnfunktion an, durch die man bei zukünftigen Datenschutzverletzungen gewarnt wird, wenn diese entsprechende E-Mail-Adressen oder -Domains beinhalten.


Brute-Force-Angriffe treffen zumeist Unternehmen mit einer schwachen Cyberhygiene und geringem Sicherheitsniveau, die einfach zu identifizierende Schwachstellen aufweisen, über unsachgemäß implementierte Sicherheitskontrollen und mangelnde Überwachung. Mit einigen gezielten Maßnahmen lässt sich allerdings die Resilienz gegenüber diesen Attacken deutlich stärken.


Michael Scheffler, Country Manager DACH von Varonis Systems


Please enable JavaScript to view the comments powered by Disqus.

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Leave a Comment