Siirry pääsisältöön
resources

Väsytyshyökkäys: Määritelmä ja esimerkkejä

Mikä on väsytyshyökkäys?

Väsytyshyökkäys yrittää arvailla kirjautumistietoja, salausavaimia tai piilotetun verkkosivun löytämistä yrityksen ja erehdyksen avulla. Hakkerit käyvät läpi kaikki mahdolliset yhdistelmät toivoen arvaavansa oikein.

Nämä hyökkäykset tehdään ‘väsytys‘ -menetelmällä, mikä tarkoittaa sitä, että ne yrittävät päästä yksityiselle tilillesi tai yksityisille tileillesi ‘väsyttämällä‘.

Tämä on vanha hyökkäysmenetelmä, mutta se on edelleen tehokas ja suosittu hakkereiden keskuudessa. Salasanan pituudesta ja monimutkaisuudesta riippuen sen murtaminen voi kestää muutamasta sekunnista moniin vuosiin.

Mitä hakkerit hyötyvät väsytyshyökkäyksistä?

Väsytyshyökkääjien on nähtävä hieman vaivaa, jotta nämä menetelmät tuottavat tulosta. Vaikka tekniikka tekee siitä helpompaa, saatat silti kysyä: miksi joku tekisi näin?

Näin hakkerit hyötyvät väsytyshyökkäyksistä:

  • mainoksista hyötyminen tai toimintatietojen kerääminen
  • henkilötietojen ja arvoesineiden varastaminen
  • haittaohjelmien levittäminen häiriöiden aiheuttamiseksi
  • järjestelmän kaappaaminen haitallista toimintaa varten
  • verkkosivuston maineen pilaaminen

Mainoksista hyötyminen tai toimintatietojen kerääminen.

Hakkerit voivat hyödyntää verkkosivustoa yhdessä muiden kanssa ansaitakseen mainospalkkioita. Suosittuja tapoja tehdä tämä ovat:

  • Roskapostimainosten sijoittaminen hyvin käytetylle sivustolle, jotta voidaan ansaita rahaa joka kerta, kun kävijät napsauttavat mainosta tai katsovat sitä.
  • Verkkosivuston liikenteen ohjaaminen uudelleen tilatuille mainossivustoille.
  • Sivuston tai sen kävijöiden saastuttaminen toimintaa jäljittävällä haittaohjelmalla — yleensä vakoiluohjelmalla. Tietoja myydään mainostajille ilman suostumustasi, jotta ne voivat parantaa markkinointiaan.

Henkilötietojen ja arvo-omaisuuden varastaminen.

Verkkotileihin murtautuminen voi olla kuin pankkiholvin murtaminen: kaikki pankkitileistä verotietoihin löytyy verkosta. Tarvitaan vain oikea murto, jotta rikollinen voi varastaa henkilöllisyytesi, rahasi tai myydä yksityiset tietosi hyötymistarkoituksessa. Joskus kokonaisten organisaatioiden arkaluonteiset tietokannat voivat paljastua yritystason tietomurroissa.

Haittaohjelmien levittäminen häiriöiden aiheuttamiseksi sen itsensä vuoksi.

Jos hakkeri haluaa aiheuttaa ongelmia tai harjoitella taitojaan, hän saattaa ohjata verkkosivuston liikennettä haitallisille sivustoille. Vaihtoehtoisesti he voivat myös suoraan tartuttaa sivustolle piilotetun haittaohjelman, joka asentuu kävijöiden tietokoneille.

Järjestelmän kaappaaminen haitallista toimintaa varten.

Kun yksi kone ei riitä, hakkerit värväävät armeijan pahaa aavistamattomia laitteita, joita kutsutaan botnetiksi, nopeuttaakseen toimiaan. Haittaohjelmat voivat tunkeutua tietokoneeseesi, mobiililaitteeseesi tai verkkotileillesi roskapostin tietojenkalastelua, tehostettuja väsytyshyökkäyksiä ja muuta varten. Jos sinulla ei ole virustorjuntajärjestelmää, tartuntavaara voi olla suurempi.

Verkkosivuston maineen pilaaminen.

Jos ylläpidät verkkosivustoa ja joudut ilkivallan kohteeksi, kyberrikollinen saattaa päättää saastuttaa sivustosi säädyttömällä sisällöllä. Tällaisia voivat olla väkivaltaiset, pornografiset tai rasistisesti loukkaavat tekstit, kuvat ja äänet.

Väsytyshyökkäysten tyypit

Jokainen väsytyshyökkäys voi käyttää erilaisia menetelmiä arkaluonteisten tietojen paljastamiseen. Saatat altistua jollekin seuraavista suosituista väsytysmenetelmistä:

  • Yksinkertaiset väsytyshyökkäykset
  • Sanakirjahyökkäykset
  • Hybridiväsytyshyökkäykset
  • Käänteiset väsytyshyökkäykset
  • Kirjautumistietojen täyttö

Yksinkertaiset väsytyshyökkäykset: Hakkerit yrittävät loogisesti arvata tunnistetietosi — täysin ilman ohjelmistotyökaluja tai muita keinoja. Nämä voivat paljastaa erittäin yksinkertaiset salasanat ja PIN-koodit. Esimerkiksi salasana, joka on asetettu muotoon “guest12345”.

Sanakirjahyökkäykset: Tavallisessa hyökkäyksessä hakkeri valitsee kohteen ja vertaa mahdollisia salasanoja kyseiseen käyttäjätunnukseen. Näitä kutsutaan sanakirjahyökkäyksiksi. Sanakirjahyökkäykset ovat väsytyshyökkäysten perustyökalu. Vaikka ne eivät itsessään välttämättä olekaan väsytyshyökkäyksiä, niitä käytetään usein tärkeänä osana salasanojen murtamisessa. Jotkut hakkerit käyvät läpi lyhentämättömiä sanakirjoja ja lisäävät sanoihin erikoismerkkejä ja numeroita tai käyttävät erityisiä sanakirjoja, mutta tämäntyyppinen peräkkäinen hyökkäys on hankala.

Hybridiväsytyshyökkäykset: Nämä hakkerit sekoittavat ulkopuolisia keinoja loogisiin arvauksiinsa yrittäessään murtautua sisään. Hybridihyökkäyksessä sekoitetaan yleensä sanakirjahyökkäyksiä ja väsytyshyökkäyksiä. Näitä hyökkäyksiä käytetään sellaisten yhdistelmäsalasanojen keksimiseen, joissa sekoitetaan yleisiä sanoja ja satunnaisia merkkejä. Esimerkkinä tällaisesta väsytyshyökkäyksestä voidaan mainita salasanat kuten NewYork1993 tai Spike1234.

Käänteinen väsytyshyökkäys: Kuten nimikin kertoo, käänteinen väsytyshyökkäyshyökkäys kääntää hyökkäysstrategian päinvastaiseksi aloittamalla tunnetusta salasanasta. Sitten hakkerit etsivät miljoonia käyttäjätunnuksia, kunnes he löytävät vastaavuuden. Monet näistä rikollisista lähtevät liikkeelle vuotaneista salasanoista, jotka ovat saatavilla verkossa jo tapahtuneiden tietomurtojen seurauksena.

Tunnistetietojen täyttö: Jos hakkerilla on käyttäjätunnus-salasana-yhdistelmä, joka toimii yhdellä verkkosivustolla, hän kokeilee sitä myös monilla muilla sivustoilla. Koska käyttäjien tiedetään käyttävän kirjautumistietoja uudelleen useilla verkkosivustoilla, he ovat tämänkaltaisen hyökkäyksen yksinomaisia kohteita.

Työkalut auttavat väsytysyrityksiä

Tietyn käyttäjän tai sivuston salasanan arvaaminen voi viedä kauan aikaa, joten hakkerit ovat kehittäneet työkaluja, joiden avulla se onnistuu nopeammin.

Automaattiset työkalut auttavat väsytyshyökkäyksissä. Ne käyttävät nopeaa arvausta, joka on suunniteltu luomaan kaikki mahdolliset salasanat ja yrittämään niiden käyttöä. Väsytyshakkerointiohjelmisto voi löytää yhden sanakirjasanan salasanan yhdessä sekunnissa.

Tällaisiin työkaluihin on ohjelmoitu kiertoteitä:

  • Toimii monia tietokoneprotokollia vastaan (kuten FTP, MySQL, SMPT ja Telnet)
  • Antaa hakkereiden murtautua langattomiin modeemeihin.
  • Heikkojen salasanojen tunnistaminen
  • Salattujen salasanojen purkaminen salatussa tallennustilassa.
  • Sanojen kääntäminen leetspeak-kieleksi — esimerkiksi "don'thackme" muuttuu muotoon "d0n7H4cKm3".
  • Kaikkien mahdollisten merkkiyhdistelmien läpikäynti.
  • Käytetään sanakirjahyökkäyksiä.

Jotkut työkalut skannaavat valmiiksi lasketut sateenkaaritaulukot tunnettujen hash-funktioiden syötteille ja tulosteille. Nämä "hash-funktiot" ovat algoritmipohjaisia salausmenetelmiä, joita käytetään salasanojen muuntamiseen pitkiksi, kiinteän pituisiksi kirjain- ja numerosarjoiksi. Toisin sanoen sateenkaaritaulukot poistavat väsytyshyökkäyksen vaikeimman osan prosessin nopeuttamiseksi.

GPU nopeuttaa väsytysyrityksiä

Väsytyssalasanaohjelmiston käyttämiseen tarvitaan valtavia määriä tietokoneen aivokapasiteettia. Valitettavasti hakkerit ovat keksineet laitteistoratkaisuja, jotka tekevät tästä työstä paljon helpompaa.

CPU:n ja grafiikkasuorittimen (GPU) yhdistäminen nopeuttaa laskentatehoa. Kun GPU:ssa lisätään tuhansia laskentaytimiä prosessointia varten, järjestelmä pystyy käsittelemään useita tehtäviä kerralla. GPU-käsittelyä käytetään analytiikkaan, suunnitteluun ja muihin laskentaintensiivisiin sovelluksiin. Tätä menetelmää hyödyntämällä hakkerit voivat murtaa salasanoja noin 250 kertaa nopeammin kuin pelkkää CPU:ta käyttäen.

Kuinka kauan salasanan murtaminen kestää? Kuusimerkkisessä salasanassa, joka sisältää numeroita, on noin 2 miljardia mahdollista yhdistelmää. Sen murtaminen tehokkaalla suorittimella, joka yrittää 30 salasanaa sekunnissa, kestää yli kaksi vuotta. Yhden tehokkaan grafiikkasuorittimen lisäämisen ansiosta sama tietokone voi testata 7 100 salasanaa sekunnissa ja murtaa salasanan 3,5 päivässä.

Vaiheet salasanojen suojaamiseksi ammattilaisille

Jotta voisit pitää itsesi ja verkkosi turvassa, sinun kannattaa ryhtyä varotoimiin ja auttaa myös muita tekemään niin. Sekä käyttäjien käyttäytymistä että verkon turvajärjestelmiä on vahvistettava.

Sekä IT-asiantuntijoiden että käyttäjien kannattaa ottaa huomioon muutama yleinen neuvo:

  • Käytä kehittynyttä käyttäjätunnusta ja salasanaa. Suojaa itsesi tunnuksilla, jotka ovat vahvempia kuin admin ja password1234, jotta nämä hyökkääjät pysyvät poissa. Mitä vahvempi tämä yhdistelmä on, sitä vaikeampi kenenkään on tunkeutua siihen.
  • Poista kaikki käyttämättömät tilit, joilla on korkean tason oikeuksia. Nämä ovat tietoverkon vastine oville, joiden lukot ovat heikkoja ja joihin on helppo murtautua. Ylläpitämättömät tilit ovat haavoittuvuus, jota et voi riskeerata. Hävitä ne mahdollisimman pian.

Kun perusasiat ovat kunnossa, haluat vahvistaa tietoturvaa ja saada käyttäjät mukaan.

Aloitamme siitä, mitä voit tehdä taustajäjestelmässä, ja annamme sitten vinkkejä turvallisten tapojen tukemiseksi.

Salasanojen passiiviset taustajäjestelmän suojaukset

Korkea salausaste: Jotta väsytyshyökkäykset eivät onnistuisi, järjestelmänvalvojien tulee varmistaa, että heidän järjestelmiensä salasanat on salattu mahdollisimman korkealla salausasteella, kuten 256-bittisellä salauksella. Mitä enemmän bittejä salausjärjestelmässä on, sitä vaikeampi salasana on murtaa.

Tarkistussumman suolaaminen: Järjestelmänvalvojien tulisi myös satunnaistaa salasanojen tarkistussummat lisäämällä itse salasanaan satunnainen kirjain- ja numerosarja (ns. 'suolaus'). Tämä merkkijono tulee tallentaa erilliseen tietokantaan, ja se on haettava ja lisättävä salasanaan ennen sen hajauttamista. Suolaamalla tarkistussumma, käyttäjillä, joilla on sama salasana, on erilaiset tarkistussummat.

Kahden tekijän todennus (2FA): Lisäksi järjestelmänvalvojat voivat vaatia kaksivaiheista todennusta ja asentaa tunkeutumisen havaitsemisjärjestelmän, joka havaitsee väsytyshyökkäykset. Tämä edellyttää, että käyttäjät seuraavat kirjautumisyritystä toisella tekijällä, kuten fyysisellä USB-avaimella tai biometrisella sormenjälkiskannauksella.

Kirjautumisen uusintayritysten määrän rajoittaminen: Yritysten määrän rajoittaminen vähentää myös alttiutta väsytyshyökkäyksille. Esimerkiksi kolmen yrityksen salliminen oikean salasanan syöttämiseksi ennen käyttäjän lukitsemista useiksi minuuteiksi voi aiheuttaa merkittäviä viiveitä ja saada hakkerit siirtymään helpompiin kohteisiin.

Tilin lukitseminen liian monien kirjautumisyritysten jälkeen: jos hakkeri voi yrittää salasanoja loputtomasti uudelleen väliaikaisen lukituksen jälkeenkin, hän voi palata yrittämään uudelleen. Tilin lukitseminen ja käyttäjän velvoittaminen ottamaan yhteyttä IT-osastoon lukituksen avaamiseksi ehkäisee tällaista toimintaa. Lyhyet lukitusajastimet ovat kätevämpiä käyttäjille, mutta mukavuus voi olla myös haavoittuvuus. Tämän tasapainottamiseksi voit harkita pitkäaikaisen lukituksen käyttämistä, jos epäonnistuneita kirjautumisia tapahtuu liikaa lyhyen kirjautumisen jälkeen.

Toistuvien kirjautumisten määrän hillitseminen: voit hidastaa hyökkääjän toimia entisestään luomalla tilaa yksittäisten kirjautumisyritysten välille. Kun sisäänkirjautuminen epäonnistuu, ajastin voi estää sisäänkirjautumisen, kunnes on kulunut jonkin aikaa. Tämä jättää reaaliaikaiselle valvontatiimillesi viiveaikaa havaita uhka ja työskennellä sen pysäyttämiseksi. Jotkut hakkerit saattavat lopettaa yrittämisen, jos odotus ei ole sen arvoista.

Pakollinen Captcha toistuvien kirjautumisyritysten jälkeen: manuaalinen varmistus estää robotteja murtautumasta tietoihin. Captchoja on monenlaisia, kuten kuvan tekstin kirjoittaminen uudelleen, valintaruudun tarkistaminen tai kuvien kohteiden tunnistaminen. Riippumatta siitä, mitä käytät, voit käyttää tätä ennen ensimmäistä sisäänkirjautumista ja jokaisen epäonnistuneen sisäänkirjautumisyrityksen jälkeen suojautuaksesi edelleen.

Käytä IP-estoluetteloa tunnettujen hyökkääjien estämiseksi. Varmista, että luetteloa hallinnoivat henkilöt päivittävät sitä jatkuvasti.

Aktiivisen IT-tuen suojaukset salasanoille

Salasanavalistus: käyttäjien käyttäytyminen on olennaisen tärkeää salasanojen turvallisuuden kannalta. Valista käyttäjiä turvallisista käytännöistä ja työkaluista, joiden avulla he voivat seurata salasanojaan. Kaspersky Password Managerin kaltaisten palveluiden avulla käyttäjät voivat tallentaa monimutkaiset, vaikeasti muistettavat salasanansa salattuun "holviin" sen sijaan, että he kirjoittaisivat ne turvattomasti muistilapuille. Koska käyttäjillä on taipumus vaarantaa turvallisuutensa mukavuuden vuoksi, auta heitä käyttämään käteviä työkaluja, jotka pitävät heidät turvassa.

Tarkkaile tilejä reaaliaikaisesti oudon toiminnan varalta: outoja kirjautumispaikkoja, liiallisia kirjautumisyrityksiä jne. Etsi epätavallisen toiminnan trendejä ja toteuta toimenpiteitä mahdollisten hyökkääjien estämiseksi reaaliaikaisesti. Tarkkaile IP-osoitteiden estämistä, tilin lukitsemista ja ota yhteyttä käyttäjiin selvittääksesi, onko tilin toiminta laillista (jos se näyttää epäilyttävältä).

Miten käyttäjät voivat vahvistaa salasanoja väsytyshyökkäyksiä vastaan?

Käyttäjänä voit tehdä paljon suojellaksesi itseäsi digitaalisessa maailmassa. Paras suoja salasanahyökkäyksiä vastaan on varmistaa, että salasanasi ovat mahdollisimman vahvoja.

Väsytyshyökkäykset käyttävät aikaa salasanasi murtamiseen. Tavoitteenasi on siis varmistaa, että salasanasi hidastaa näitä hyökkäyksiä mahdollisimman paljon, sillä jos kestää liian kauan, ennen kuin tietomurto kannattaa... useimmat hakkerit luovuttavat ja siirtyvät muualle.

Seuraavassa on muutamia tapoja, joilla voit vahvistaa salasanoja väsytyshyökkäyksiä vastaan:

Pidemmät salasanat, joissa on erilaisia merkkejä. Käyttäjien tulisi mahdollisuuksien mukaan valita 10 merkkiä pitkä salasana, joka sisältää symboleja tai numeroita. Näin luodaan 171,3 kvintiljoonaa (1,71 x 1020) mahdollisuutta. Käyttämällä GPU-prosessoria, joka yrittää 10,3 miljardia tarkistussummaa sekunnissa salasanan murtaminen kestäisi noin 526 vuotta. Tosin supertietokone voisi murtaa sen muutamassa viikossa. Tämän logiikan mukaan useampien merkkien lisääminen vaikeuttaa salasanan ratkaisemista entisestään.

Monimutkaiset tunnuslauseet. Kaikki sivustot eivät hyväksy näin pitkiä salasanoja, joten sinun kannattaa valita monimutkaisia salasanoja yksittäisten sanojen sijaan. Sanakirjahyökkäykset on suunniteltu erityisesti yhden sanan lauseita varten, ja niiden avulla murtautuminen on lähes vaivatonta. Salalauseissa — salasanoissa, jotka koostuvat useista sanoista tai osista — tulee olla ylimääräisiä merkkejä ja erikoismerkkejä.

Luo sääntöjä salasanojesi luomista varten. Parhaat salasanat ovat sellaisia, jotka muistat, mutta joiden lukemisessa ei ole mitään järkeä kenellekään muulle. Kun käytät salalausetapaa, harkitse lyhennettyjen sanojen käyttämistä, kuten "wood" korvaamista sanalla "wd", jotta voit luoda merkkijonon, jossa on järkeä vain sinulle. Muita esimerkkejä voivat olla vokaalien jättäminen pois tai vain kahden ensimmäisen kirjaimen käyttäminen kussakin sanassa.

Älä käytä usein käytettyjä salasanoja. On tärkeää välttää yleisimpiä salasanoja ja vaihtaa ne usein.

Käytä yksilöllisiä salasanoja jokaiselle käyttämällesi sivustolle. Jotta et joutuisi tunnistetietojen täyttämisen uhriksi, älä koskaan käytä salasanaa uudelleen. Jos haluat lisätä turvallisuutta, käytä eri käyttäjätunnusta jokaisella sivustolla. Voit estää muita tilejä vaarantumasta, jos johonkin tileistäsi murtaudutaan.

Käytä salasanojen hallintaohjelmaa. Salasanojen hallintaohjelman asentaminen automatisoi verkkotunnusten luomisen ja seuraamisen. Näiden avulla voit käyttää kaikkia tilejäsi kirjautumalla ensin salasanahallintaan. Voit luoda erittäin pitkiä ja monimutkaisia salasanoja kaikille sivustoille, joilla vierailet, tallentaa ne turvallisesti ja sinun tarvitsee muistaa vain yksi ensisijainen salasana.

Jos mietit, "kuinka kauan salasanani murtaminen kestää", voit testata salasanan vahvuuden osoitteessa https://password.kaspersky.com.

Kaspersky Internet Security on saanut kaksi AV-TEST-palkintoa Internet-tietoturvatuotteen parhaasta suorituskyvystä ja suojauksesta vuonna 2021. Kaspersky Internet Security osoitti kaikissa testeissä erinomaista suorituskykyä ja suojaa verkkouhkia vastaan.

Aiheeseen liittyviä artikkeleita:

Väsytyshyökkäys: Määritelmä ja esimerkkejä

Kaspersky Logo