Rohe Gewalt statt ausgeklügelter Technik

Es müssen nicht immer hochentwickelte Angriffe sein, die Cyberkriminelle zum „Erfolg“ führen. Oftmals reichen auch einfacher gestrickte Attacken, um zum Ziel zu gelangen: Wie Brute-Force-Angriffe ablaufen und welche Schutzmaßnahmen sich bewährt haben.

Es müssen nicht immer hochentwickelte Angriffe sein, die Cyberkriminelle zum „Erfolg“ führen. Oftmals reichen auch einfacher gestrickte Attacken wie Brute-Force-Angriffe, um zum Ziel zu gelangen. Bei diesen versuchen Angreifer, durch schnell getaktete, oft millionenfache Wiederholung Passwörter zu „erraten“, versteckte URLs zu entdecken oder verschlüsselte oder gehashte Passwörter offenzulegen. Obgleich es einfache und gängige Möglichkeiten gibt, sich gegen diese Angriffe zu verteidigen, sind sie immer wieder erfolgreich, zumal sie für die Angreifer mit relativ wenig Aufwand verbunden sind.

Brute-Force-Angriffe setzen auf „rohe Gewalt“ und sind relativ simpel, aber durchaus lohnend. Sie sind vergleichbar mit einem Dieb, der versucht, in ein Haus einzubrechen und die Eingangstür unverschlossen vorfindet. Warum sollte er sich dann für eine kompliziertere und riskantere Methode entscheiden? Die häufigsten Ziele dieser Angriffe sind Account-Übernahmen beziehungsweise -Kompromittierungen, Datendiebstahl oder die Verbreitung von Malware. Sie werden aber auch häufig zum Ausbau von Botnets, Ad-Hijacking oder Cryptojacking eingesetzt. Zwar können Brute-Force-Angriffe auch manuell ausgeführt werden, zumeist setzen Cyberkriminelle jedoch auf entsprechende Tools zur Automatisierung der Attacken. Man kann dabei folgende Arten unterscheiden:

Manuelles Credential Stuffing
Hierbei probieren die Angreifer verschiedene Anmeldekombinationen aus, um Zugang zu einem Konto zu erhalten. Je nach anvisiertem Ziel kann dies ein manueller Prozess sein, bei dem eine bereits bekannte Information wie eine E-Mail-Adresse oder das E-Mail-Format für die Unternehmens-Mails genutzt wird. Allerdings wurde diese Taktik mittlerweile weitgehend durch automatisierte Prozesse ersetzt, die die Erfolgschancen der Angreifer deutlich erhöhen.

Credential Stuffing mit erbeuteten Daten
Im Rahmen unzähliger Datenschutzverletzungen wurden Millionen E-Mail-/Passwort-Kombinationen aufgedeckt, die nun im Dark Web kursieren. Problematisch ist dies vor allem dann, wenn Passwörter wiederverwendet werden. Entsprechend probieren Angreifer die erbeuteten Passwort-/E-Mail-Kombination bei anderen Konten aus. Zudem geben die erbeuteten Daten auch Aufschluss über die am häufigsten verwendeten Passwörter, die dann bevorzugt von den Angreifern verwendet werden. Nach wie vor zeigt sich dabei, dass die Passworthygiene vielfach noch verbesserungsbedürftig ist, da Passwörter wie „123456“ oder „password“ leider weit verbreitet sind.

Automatisiertes Credential Stuffing
Mit speziellen Tools können Angreifer Hunderte von E-Mail-/Passwortkombinationen in Sekundenschnelle ausprobieren. Ohne Gegenmaßnahmen ist die Entdeckung eines Passworts letztlich eine Frage der Wahrscheinlichkeit. Da Anmeldedaten wie E-Mail-Adressen oft bekannt sind, bedeutet dies, dass ein Hacker leicht in ein Konto eindringen kann. Zur Umgehung von Sperren und Versuchsbeschränkungen können einige Tools in verschiedenen Zeitintervallen ausgeführt werden. Zudem ist es möglich, spezielle Kennwortlisten entsprechend der Branche oder des Standorts des Opfers zu verwenden, um die so Erfolgschancen zu erhöhen.

URL-Ermittlung
Viele Unternehmen, die beliebte Cloud-Hosting-/Infrastrukturdienste wie Azure, AWS oder GCP nutzen, haben diese möglicherweise nicht richtig konfiguriert, sodass sie jeder sehen kann, der über die richtige URL verfügt. Dies hat zu einer Reihe von prominenten Datenlecks geführt, bei denen Datenbanken mit sensiblen Inhalten im Internet veröffentlicht wurden. Um diese Seiten zu finden und die Daten zu entwenden, probieren Angreifer mittels spezieller Skripte verschiedene URL-Kombinationen aus.

Kryptografische Entschlüsselung
Das Ziel der meisten Brute-Force-Angriffe ist der Zugang zu einem Konto. Sie können allerdings auch zur Entschlüsselung von Kennwörtern aus einem Datenleck verwendet werden. Bei zahlreichen gestohlenen Anmeldeinformationen liegen die Kennwortdaten nur in verschlüsselter Form vor. Passwörter sind dabei in der Regel „gehasht“, das heißt sie wurden absichtlich in eine andere Zeichenfolge umgewandelt. Allerdings gibt es Tools, um den Hash von gespeicherten Kennwortdaten abzugleichen und so die tatsächlichen Kennwortdaten offenzulegen. Je nach Länge und Komplexität des Passworts dauert es nur Sekunden oder auch (theoretisch) mehrere Jahre, um zu einem Ergebnis zu gelangen. Letztlich ist es ein Katz-und-Maus-Spiel: Neue Verschlüsselungs- und kryptografische Verschleierungsmethoden wie Hashing werden ständig entwickelt und angewandt, um Passwortdaten im Falle eines Verstoßes zu schützen, während Hacker immer fortschrittlichere Entschlüsselungswerkzeuge entwickeln.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Fünf Tipps zum Schutz vor Brute-Force-Attacken

Aufgrund der recht simplen Natur von Brute-Force-Angriffen gibt es zum Glück einige Möglichkeiten, sich vor ihnen zu schützen. Dabei sollten Sicherheitsverantwortliche vor allem auf folgende Methoden und Tools setzen:

1. Verwenden von Multi-Faktor-Authentifizierung (MFA), wo immer dies möglich ist: MFA ist eine der effektivsten Methoden zur Abwehr von Brute-Force-Angriffen. Selbst wenn ein Hacker ein automatisiertes Tool verwendet und die richtige Passwort-/E-Mail-Kombination herausfindet, ist es ausgesprochen unwahrscheinlich, dass er auch Zugriff auf den zusätzlichen Authentifizierungsfaktor hat. Ohne diesen kann er jedoch nicht auf das entsprechende Konto zugreifen.
2. Aktivieren von Captcha als Teil des Anmeldevorgangs: Selbst in der einfachsten Form der Bestätigung, dass man kein Roboter ist, können Captchas einen großen Beitrag zum Schutz vor automatisierten Brute-Force-Angriffen leisten. Viele Skripts und Tools scheitern nach wie vor an dieser Hürde. Aber auch wenn ein Tool dazu in der Lage ist, das Captcha zu lösen, verlängert sich dadurch der Anmeldeprozess um ein paar Sekunden. Bei Tausenden Versuchen werden die Angriffe auf diese Weise merklich verlangsamt und so ihrer eigentlichen Qualität („quick and dirty“, also schmutzig und schnell) beraubt, weshalb Cyberkriminelle in diesen Fällen die Attacken meist auf ein anderes, einfacheres Ziel lenken werden.
3. Anmeldeversuche begrenzen: Durch die Begrenzung der Anmelde-Versuche lassen sich manuelle und automatische Brute-Force-Angriffe verhindern. So lässt sich entweder begrenzen, wie oft jemand versuchen kann, sich in ein Konto einzuloggen oder nach einer bestimmten Anzahl von Fehlversuchen eine Kennwortrücksetzung veranlassen. Eine ähnliche Methode ist das Hinzufügen eines Zeitintervalls zwischen den Fehlversuchen. Dieses kann eine fixe Zeitspanne wie beispielsweise 10 Sekunden betragen, oder aber sich mit jedem fehlgeschlagenen Versuch erhöhen (zum Beispiel 10 Sekunden, 30 Sekunden, 2 Minuten, 5 Minuten). Durch den Einsatz von Erkennungstools, die auf Verhaltensanomalien wie zum Beispiel mehrfache Anmeldeversuche aufmerksam machen, können Sicherheitsverantwortliche entsprechende Angriffe schnell und effektiv identifizieren.
4. Auf starke, einzigartige Passwörter setzen: Mit automatisierten Brute-Force-Angriffen lassen sich Passwörter mit genügend Zeitaufwand herausfinden. Je länger, komplizierter und einzigartiger das Kennwort ist, desto schwieriger ist es jedoch für einen Angreifer, es zu ermitteln. Die meisten automatisierten Tools verwenden eine Liste von Passwörtern, die bei Datenschutzverletzungen gestohlen wurden, in der berechtigten Hoffnung, dass der entsprechende Nutzer es auch für andere Konten nutzt. Werden jedoch einzigartige Passwörter verwendet, tauchen diese womöglich gar nicht erst in den Listen auf. Die Durchsetzung strenger Kennwortrichtlinien kann das Risiko eines solchen Angriffs erheblich reduzieren und die Entschlüsselung von Passwörtern erschweren.
5. HaveIBeenPwned nutzen: HaveIBeenPwned ist ein kostenloser Dienst, der prüft, ob die eigenen E-Mails, E-Mails einer bestimmten Domain oder die eigenen Passwörter bereits Teil eines Datenlecks waren. Die Seite bietet auch einen kostenlosen Domain-Service sowie eine Warnfunktion an, durch die man bei zukünftigen Datenschutzverletzungen gewarnt wird, wenn diese entsprechende E-Mail-Adressen oder -Domains beinhalten.

Brute-Force-Angriffe treffen zumeist Unternehmen mit einer schwachen Cyberhygiene und geringem Sicherheitsniveau, die einfach zu identifizierende Schwachstellen aufweisen, über unsachgemäß implementierte Sicherheitskontrollen und mangelnde Überwachung verfügen. Mit einigen gezielten Maßnahmen lässt sich allerdings die Resilienz gegenüber diesen Attacken deutlich stärken.

Michael Scheffler, Country Manager DACH von Varonis Systems

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen