Что такое брутфорс
Брутфорс (англ. brute force) — это метод взлома учетной записи методом автоматического или ручного перебора паролей.
При использовании брутфорса хакер пытается подобрать правильный пароль от аккаунта, чтобы затем получить доступ к личным данным пользователя.
Брутфорс используют, чтобы взламывать аккаунты в соцсетях, электронные почты, профили в играх или на любых других площадках. Особую ценность для хакеров представляют учетные записи в банковских сервисах, где пользователи хранят реальные деньги.
Методом брутфорса хакеры получают доступ к профилям, перепискам, документам и виртуальным счетам. Затем они используют их в незаконных и недобросовестных целях:
-
кража средств на счетах или виртуальной валюты;
-
перепродажа другим, в том числе мошенническим компаниям;
-
рассылка спама;
-
мошенничество от лица пользователей;
-
шантаж, вымогательство;
-
кража закрытой инсайдерской информации о компании.
Также брутфорс используется пентестерами при проверке системы на безопасность. Этот метод считается «белым» взломом и не несет угроз пользователям, так как производится с целью проверить программу на прочность.
Способы брутфорс‑атак
Существуют разные способы осуществить брутфорс‑атаку на систему. Рассмотрим их подробнее.
Обычная брутфорс‑атака
При стандартной брутфорс‑атаке хакер подбирает все возможные варианты паролей с помощью специального ПО. Обычно система генерирует комбинации по определенным заданным параметрам, например количеству символов.
Брутфорс по словарю
Этот метод брутфорса схож с классическим. Он отличается лишь тем, что в подборе используют не случайные комбинации букв и цифр, а реальные слова и фразы из словарей. Часто таким образом хакеры получают доступ к аккаунтам пользователей, которые составили свои пароли из существующих слов.
Гибридная атака
Гибридная атака — это метод перебора по словарю, который дополнили перебором случайных чисел и символов. При таком способе брутфорса хакер пытается взломать сложные пароли, которые обычно состоят сразу из букв, чисел и других знаков.
Обратная атака
Если хакерам не важно, к чьему аккаунту получить доступ, иногда они используют метод обратной атаки. Это обычный взлом, но наоборот. Если при брутфорсе к одному логину подбирают множество вариантов паролей, то при обратной атаке один пароль подставляют к разным логинам.
Индивидуальный взлом
Если хакеру нужно получить доступ к аккаунту определенного человека, он попытается подобрать пароль вручную. Первым делом он соберет как можно больше личных общедоступных данных, которые мог указать пользователь в комбинации: имена и даты рождения родственников, друзей, питомцев и так далее. Затем хакер попробует угадать профиль жертвы перебором разных вариантов.
Подстановка данных
Если у взломщиков уже есть доступ к аккаунту пользователя, он может попытаться ввести его и на других площадках. Так как люди часто используют везде одни и те же пароли, этот подход может сработать и позволит злоумышленнику проникнуть в учетную запись для дальнейшего получения данных.
Брутчек
Когда хакеры получают доступ к электронной почте жертвы, они используют их для взлома остальных профилей. Чтобы получить доступ, они генерируют пароли, присылают их на почту и применяют для авторизации в системе.
Какие инструменты используют для брутфорса
Ботнеты
Брутфорс — это автоматическая генерация огромного количества чисел, букв и символов. Для нее компьютер хакера должен обладать достаточной мощностью, чтобы произвести вычислительные манипуляции.
Когда взломщику невыгодно использовать собственное оборудование, он заражает компьютеры других пользователей вредоносной программой, проникает в систему и создает общую ботнет‑сеть. В результате зараженные компьютеры берут на себя все риски, а злоумышленники получают личные данные без затрат собственных ресурсов.
Через ботнет‑сети производят разные виды брутфорс‑атак. Их также используют для увеличения уровня анонимности.
Специальные программы
Чтобы взломать аккаунт, нужно перебрать огромное количество вариантов паролей. Это невозможно сделать вручную, поэтому хакеры используют автоматические программы, которые сами генерят варианты комбинаций и подставляют их в систему.
Большинство современных систем умеют распознавать работу ПО для брутфорса и предотвратить взлом. Но хакеры постоянно совершенствуют свои технологии, и распознать их становится все труднее. Вот программы, которые часто используют для взлома:
Brutus. Одна из самых базовых и известных программ для подбора паролей от аккаунтов методами прямого перебора или перебора по словарю. Делает до 2,5 тысячи попыток аутентификации в секунду.
Brute Forcer. Серверное приложение для хакинга методом брутфорса, которое генерирует пароли и подставляет их в систему.
Metasploit. Фреймворк с открытым исходным кодом, который используют при тестировании и взломе. Применяется для брутфорс‑атак разными методами.
Burp Suite. Мультитул для проведения аудита безопасности веб‑приложений, который также используют для взлома методом брутфорса.
Базы паролей
Хакеры генерят пароли автоматически. И хотя алгоритмы делают это очень быстро, они нечасто попадают в цель, особенно при взломе сложных комбинаций.
Поэтому злоумышленники используют готовые базы паролей — наборы популярных комбинаций, которые собирают другие хакеры. Туда попадают пароли вроде «1234567» или «qwerty», которые считаются самыми простыми для взлома.
Уже раскрытые пароли полезны хакерам, так как могут открыть доступ к аккаунтам пользователей, которые используют везде одни и те же комбинации.
Социальная инженерия
В некоторых случаях хакеры используют для взлома психологические инструменты и манипуляции. Они следят за жертвами, мониторят их активность в интернете, а иногда лично втираются в доверие. Этот метод используется для взлома аккаунтов определенных людей, например владельцев компаний или знаменитостей.
Цель подобных мероприятий — узнать как можно больше личного о человеке: его имя, место жительства, имена членов семьи и прочие сведения, которые могут быть полезны при взломе.
Опасность брутфорса
Взлом методом брутфорса угрожает пользователям распространением персональных данных. Взломщики могут получить доступ к личным архивам, документам, банковским счетам и другим закрытым сведениям, чтобы использовать их в личных целях. Украденные данные хакеры с большей вероятностью продадут или будут использовать с целью обогащения — например, попытаются списать деньги с карт.
Взлом брутфорсом угрожает не только обычным пользователям, но и владельцам системы. Если хакеры раскроют пароли администраторов и получат доступ к управлению системой, сайт может понести не только репутационные, но и материальные риски.
За использование брутфорса в недобросовестных целях предусмотрено уголовное наказание по статье №272 УК РФ. В зависимости от тяжести преступления хакерам может грозить до семи лет лишения свободы только за доступ к информации. Если же помимо взлома хакер успел кого‑то обмануть, он также рискует получить судимость за мошенничество.
Как защититься от брутфорса
Брутфорс позволяет перебирать пароли с запредельной скоростью. За секунду компьютер может сгенерировать десятки миллиардов комбинаций, так что единственный способ защититься — использовать длинные и сложные пароли.
Исследователи кибербезопасности из Microsoft предоставили данные по 25 миллионам попыток брутфорс‑атак и сделали вывод, что пароли длиной до 7 символов взламывают в 77 % случаев, а пароли более 10 символов — лишь в 6 % случаев. В 7 % случаев вскрывают пароли со специальными символами: скобками, решетками, подчеркиваниями и прочими.
Помимо специальных символов и большого количества символов, существуют и другие меры защиты от брутфорса:
-
ставить разные пароли на разных сайтах и сервисах;
-
использовать двухфакторную аутентификацию или биометрию при входе;
-
регулярно менять важные пароли от почт, мессежеров и облаков.
Если вы владеете сервисом, который предусматривает авторизацию, вам также необходимо обеспечить безопасность пользователей. Для этого нужно:
- Усилить требования к паролям. Сделайте так, чтобы регистрация была возможна только при вводе длинного и сложного пароля;
- Ограничьте количество попыток входа с одного IP. Блокируйте авторизацию или просите ввести капчу, когда система фиксирует множество попыток авторизации;
- Добавьте двухфакторную аутентификацию. Пусть пользователи входят в систему после дополнительного подтверждения по номеру телефона или почте;
- Установите задержку времени при входе. Сделайте так, чтобы в аккаунт нельзя было войти чаще, чем раз в несколько минут или секунд.
- Храните пароли в виде соли в хэшах. Так хакерам будет сложнее получить доступ к данным ваших пользователей.
Что запомнить
-
Брутфорс (англ. brute force) — это метод взлома учетной записи методом автоматического или ручного перебора паролей;
-
Методом брутфорса хакеры получают доступ к профилям, перепискам, документам и виртуальным счетам. Затем они используют их в незаконных и недобросовестных целях — например, для мошенничества или кражи денег со счетов;
-
Взлом может производиться подбором случайных комбинаций, по словарю, гибридным методом, обратной атакой, подстановкой данных, персональным взломом или брутчеком;
-
Для достижения целей хакеры используют специальные ПО, социальную инженерию и ботнет‑системы;
-
Чтобы защититься от брутфорса, нужно создавать длинные и сложные пароли длиной не менее семи символов.