Password spraying -hyökkäykset

Mikä password spraying -hyökkäys on?

Password spraying on väsytyshyökkäyksen tyyppi, jossa haitalliset toimijat yrittävät käyttää samaa salasanaa useilla tileillä ennen seuraavan salasanan testaamista. Password spraying -hyökkäykset ovat usein tehokkaita, koska monien käyttäjien salasanat ovat yksinkertaisia ja helposti arvattavia, kuten ”salasana” tai ”123456”.

Monissa organisaatioissa käyttäjän tili lukitaan, jos hän syöttää liian monta kertaa väärät kirjautumistiedot. Koska password spraying -hyökkäyksissä kokeillaan yhtä salasanaa useille tileille, tilejä ei lukita yhtä todennäköisesti kuin väsytyshyökkäyksissä, joissa yritetään päästä yksittäiselle tilille käyttämällä useita eri salasanoja.

Nimensä (”spraying”) mukaisesti yksi password spraying -hyökkäyksen ominaispiirre on, että se voidaan kohdistaa samalla kertaa tuhansiin tai jopa miljooniin eri käyttäjiin yksittäisen tilin sijasta. Koska hyökkäys tehdään usein automaattisesti ja voi tapahtua pidemmällä aikavälillä, se voi helposti jäädä havaitsematta.

Password spraying -hyökkäyksiä tehdään yleensä silloin, kun tietyn organisaation järjestelmänvalvoja tai sovellus asettaa oletussalasanoja uusille käyttäjille. Erityisesti kertakirjautumista käyttävät ja pilvipohjaiset alustat ovat alttiita haavoittuvuuksille.

Vaikka password spraying -hyökkäykset saattavat vaikuttaa yksinkertaisilta muihin kyberhyökkäyksiin verrattuna, myös edistyneet kyberrikollisryhmät käyttävät niitä. Esimerkiksi vuonna 2022 Yhdysvaltojen Cybersecurity and Infrastructure Security Agency (CISA) julkaisi varoituksen Venäjän valtion tukemista kybertoimijoista. Varoituksessa lueteltiin eri taktiikoita, joilla kyseiset toimijat pyrkivät saamaan pääsyn hyökkäyksen kohteena oleviin verkostoihin – ja yksi näistä taktiikoista oli juurikin password spraying.

Miten password spraying -hyökkäys tapahtuu?

Password spraying -hyökkäys koostuu yleensä seuraavista vaiheista:

Vaihe 1: Kyberrikolliset ostavat käyttäjätunnuksia sisältävän luettelon tai luovat oman luettelon

Kyberrikolliset aloittavat password spraying -hyökkäyksen usein ostamalla käyttäjätunnuksia sisältäviä luetteloita, jotka on varastettu eri organisaatioilta. Arvioiden mukaan kirjautumistietoja on myynnissä pimeässä verkossa yli 15 miljardia.

Kyberrikolliset voivat myös luoda oman luettelon yritysten sähköpostiosoitteiden pohjalta (esim. etunimi.sukunimi@yrityksennimi.fi) käyttämällä LinkedInistä tai muista julkisista lähteistä löytyvien työntekijöiden nimiä.

Kyberrikolliset kohdistavat ajoittain hyökkäyksiä tiettyihin työntekijäryhmiin, kuten yrityksen taloushallintoon, virkamiehiin tai ylimpään johtoon, koska kohdistetut hyökkäykset voivat tuottaa parempia tuloksia. Hyökkäykset kohdistuvat usein yrityksiin tai osastoihin, joissa käytetään kertakirjautumista (SSO) tai yhdistettyä todennusprotokollaa – eli mahdollisuutta kirjautua esimerkiksi Facebookiin Google-tilin tunnuksilla – tai joissa ei ole otettu käyttöön monivaiheista tunnistautumista.

Vaihe 2: Kyberrikolliset hankkivat luettelon yleisistä salasanoista

Password spraying -hyökkäyksissä käytetään luetteloita, jotka sisältävät yleisiä tai oletusarvoisia salasanoja. Yleisimpien salasanojen selvittäminen on kohtuullisen yksinkertaista, sillä niitä julkaistaan vuosittain useissa eri raporteissa ja tutkimuksissa ja Wikipediassa on jopa sivu, jossa on lueteltu 10 000 yleisintä salasanaa. Kyberrikolliset saattavat myös tehdä omia tutkimuksiaan ja arvata salasanoja esimerkiksi hyökkäyksen kohteena olevan organisaation lähellä olevien maamerkkien tai paikallisten urheilujoukkueiden nimien pohjalta.

Vaihe 3: Kyberrikolliset testaavat eri käyttäjätunnusten ja salasanojen yhdistelmiä

Kun kyberrikollisella on käyttäjätunnuksia ja salasanoja sisältävä luettelo, hän pyrkii kokeilemalla löytämään toimivan yhdistelmän. Password spraying -työkaluilla tämä onnistuu usein automaattisesti. Kyberrikolliset käyttävät yhtä salasanaa useiden eri käyttäjätunnusten yhteydessä ja siirtyvät sitten luettelon seuraavaan salasanaan välttääkseen lukituskäytäntöjen rikkomisen tai IP-osoitteen estämisen, joiden tarkoituksena on rajoittaa kirjautumisyrityksiä.

Password spraying -hyökkäysten vaikutus

Kun hyökkääjä saa pääsyn tilille password spraying -hyökkäyksen kautta, hänen toiveenaan on löytää tililtä varastamisen arvoisia tietoja tai heikentää käyttöoikeuksiensa avulla organisaation tietoturvaa siten, että hän pääsee käsiksi vielä arkaluonteisempaan dataan.

Onnistunut password spraying -hyökkäys voi aiheuttaa yritykselle merkittävää vahinkoa. Saatuaan oikeat kirjautumistiedot tietoonsa hyökkääjä voi esimerkiksi päästä yrityksen pankkitileille ja tehdä sieltä vilpillisiä ostoksia. Jos tätä ei havaita, hyökkäyksen kohteeksi joutuneelle yritykselle voi aiheutua mittavia taloudellisia menetyksiä. Kyberhyökkäyksestä toipuminen voi viedä muutaman kuukauden tai pidempään.

Paitsi että password spraying -hyökkäys vaikuttaa organisaation talouteen, se voi myös hidastaa tai häiritä sen päivittäisiä toimintoja. Koko yrityksen laajuiset haitalliset sähköpostit voivat heikentää tuottavuutta. Yritystilin kaapannut hyökkääjä voi varastaa yksityisiä tietoja, perua ostoksia tai muuttaa palvelujen toimituspäiviä.

Lisäksi hyökkäyksistä on mainehaittaa: jos yritykseen kohdistuu tietomurto, asiakkaat eivät välttämättä enää luota tietojensa olevan turvassa kyseisessä yrityksessä. He saattavat siirtyä käyttämään toisen yrityksen palveluita, mistä taas koituu yritykselle lisähaittaa.

Työntekijät katsovat tietokoneen näyttöä toimistossa

Esimerkki password spraying -hyökkäyksestä

”Minua pyydettiin vaihtamaan salasanani, kun pankkiini kohdistui password spraying -hyökkäys. Haitalliset toimijat kokeilivat miljoonia käyttäjätunnusten ja salasanojen yhdistelmiä päästäkseen pankin asiakkaiden tileille – ja valitettavasti myös minun tililleni.”

Password spraying vs. väsytyshyökkäys

Password spraying -hyökkäyksessä pyritään saamaan pääsy useille eri tileille muutaman yleisen salasanan avulla. Väsytyshyökkäyksissä puolestaan pyritään saamaan luvaton pääsy yksittäiselle tilille arvaamalla tilin salasana yleensä pitkien salasanaluetteloiden avulla.

Toisin sanoen väsytyshyökkäyksissä yhden käyttäjätunnuksen yhteydessä testataan useita eri salasanoja, kun taas password spraying -hyökkäyksissä useiden käyttäjätunnusten yhteydessä testataan yhtä salasanaa. Nämä ovat todennushyökkäyksen kaksi eri muotoa.

Merkkejä password spraying -hyökkäyksestä

Password spraying -hyökkäysten yhteydessä useilla eri tileillä esiintyy yleensä toistuvia epäonnistuneita todennusyrityksiä. Organisaatiot voivat havaita password spraying -hyökkäyksen tarkistamalla todennuslokeista järjestelmien ja sovellusten epäonnistuneet kirjautumisyritykset kelvollisille tileille.

Yleisiä merkkejä password spraying -hyökkäyksestä:

suuri määrä kirjautumistoimintaa lyhyellä aikavälillä
piikki aktiivisten käyttäjien epäonnistuneissa kirjautumisyrityksissä
kirjautumiset tileiltä, joita ei ole olemassa tai jotka eivät ole käytössä.

Miten password spraying -hyökkäyksiltä voi suojautua?

Organisaatiot voivat suojautua password spraying -hyökkäyksiltä alla olevien varotoimien avulla.

Ota käyttöön vahva salasanakäytäntö
Käyttämällä vahvoja salasanoja IT-tiimit voivat minimoida password spraying -hyökkäysten riskin. Lisätietoja vahvan salasanan luomisesta on täällä.

Määritä kirjautumisten havaitsemismenetelmä
IT-tiimien tulisi myös ottaa käyttöön menetelmiä, joilla voidaan havaita, jos samalta isäntäkoneelta yritetään kirjautua useille tileille lyhyellä aikavälillä, sillä tämä on selkeä merkki password spraying -hyökkäysyrityksestä.

Määritä vahva lukituskäytäntö
Sopivan rajan määrittäminen lukituskäytännölle verkkotunnustasolla auttaa suojautumaan password spraying -hyökkäyksiltä. Rajan on oltava riittävän matala, jotta se estää hyökkääjiä tekemästä useita todennusyrityksiä ennen lukitusta, mutta se ei kuitenkaan saa olla niin matala, että tilien oikeat käyttäjät lukitaan pois tileiltään yksinkertaisten virheiden vuoksi. Lisäksi organisaatiolla on oltava selkeä prosessi lukituksen poistamiseen ja nollaamiseen tilien todennetuilta käyttäjiltä.

Noudata Zero Trust -lähestymistapaa
Zero Trust -lähestymistavan periaatteena on, että käyttäjälle myönnetään aina vain suppeimmat tietyn tehtävän suorittamiseen tarvittavat käyttöoikeudet. Zero Trust -lähestymistavan soveltaminen organisaatiossa on keskeinen keino parantaa verkon tietoturvaa.

Käytä epätavanomaisia käyttäjätunnuksia
Älä valitse helposti arvattavia käyttäjätunnuksia, kuten jukka.salmi tai jsal, mihinkään muualle kuin sähköpostiin. Yksi keino välttyä hyökkäyksiltä on valita erilliset epätavanomaiset kirjautumistiedot kertakirjautumista käyttäville tileille.

Käytä biometrista tunnistusta
Tietyt organisaatiot käyttävät kirjautumisen yhteydessä biometrista tunnistusta, jolloin hyökkääjät eivät voi käyttää hyväkseen mahdollisia aakkosnumeeristen salasanojen heikkouksia. Hyökkääjät eivät voi tällöin kirjautua sisään ilman tilin haltijaa.

Etsi kaavamaisuuksia
Varmista, että käyttämäsi suojausmenetelmät pystyvät nopeasti tunnistamaan kirjautumisessa esiintyviä epäilyttäviä kaavoja, kuten sen, että useille eri tileille pyritään kirjautumaan samanaikaisesti.

Salasanojen hallintaohjelman käytöstä voi olla hyötyä

Salasanojen tarkoitus on estää arkaluonteisten tietojen päätyminen vääriin käsiin. Käyttäjillä on kuitenkin nykyään usein niin paljon salasanoja, että niiden muistaminen voi olla haastavaa etenkin, kun kaikkien kirjautumistietojen tulisi olla yksilöllisiä.

Osa käyttäjistä pyrkiikin helpottamaan salasanojen muistamista käyttämällä yksinkertaisia tai helposti arvattavia salasanoja ja valitsemalla usein vielä saman salasanan eri tileille. Tällaiset salasanat ovat kuitenkin erityisen alttiita password spraying -hyökkäyksille.

Hyökkääjien taidot ja työkalut ovat kehittyneet viime vuosina merkittävästi. Myös tietokoneet ovat nykyään nopeampia salasanojen arvaamisessa. Hyökkääjät käyttävät automaatiota hyökätessään salasanatietokantoihin tai verkkotileihin. He ovat opetelleet erityisiä tekniikoita ja strategioita saavuttaakseen parempia tuloksia.

Yksittäisille käyttäjille voi olla hyötyä salasanojen hallintaohjelman, kuten Kaspersky Password Managerin, käytöstä. Salasanojen hallintaohjelmat luovat monimutkaisia ja pitkiä salasanoja, joiden arvaaminen on vaikeaa. Niiden ansiosta käyttäjän ei myöskään tarvitse muistaa useita eri kirjautumistietoja, ja niiden avulla voi tarkistaa, ettei sama salasana ole käytössä eri palveluissa. Salasanojen hallintaohjelma on kätevä ratkaisu käyttäjän yksilöllisten kirjautumistietojen luomiseen, tallentamiseen ja hallintaan.

Aiheeseen liittyvät tuotteet: