Что такое брутфорс, и можно ли его использовать

Информационная безопасность – приоритет для любой организации, работающей с личными данными клиентов. К тому же это гарант сохранения репутации и защиты конфиденциальных материалов. СМИ часто заявляют о взломах разных ресурсов и об утечках коммерческих данных. Главный инструмент киберпреступника для подобных атак – брутфорс. Рассказываем, что это такое, в чем опасность и как защититься.

Что такое брутфорс

Брутфорс – взлом учетной записи методом подбора пароля с помощью перебора комбинаций. Поиск нужной комбинации до момента совпадения можно автоматизировать с помощью специальных программ. Чем длиннее пароль, тем меньше вероятность, что брутфорс поможет взломать аккаунт.

В переводе с английского «brute force» – «грубая сила». У брутфорса есть еще одно название – метод исчерпывания, так как для достижения цели применяются все возможные сочетания символов и отбрасываются неподходящие варианты.

Классификация и способы выполнения брутфорс-атаки

Метод «грубой силы» доступен в трех видах:

• Персональный взлом – получение доступа к личным данным пользователя. С помощью мошеннических схем (в том числе и при личном общении), злоумышленники узнают сведения, которые помогут в подборе пароля. Затем хакер вносит в специальную программу адрес взламываемого ресурса и логин, подключает словарь и запускает автоматический подбор (либо вводит комбинации вручную).
• «Брут-чек» – поиск целой базы паролей для доступа к разным аккаунтам. Когда пользователи регистрируются на сайтах, игровых платформах или в социальных сетях, они заполняют поле для email-адреса. На него отправляются данные для входа в аккаунт. Взломщик вносит в программу названия сайтов или ключевые слова, по которым запустится поиск писем с логинами и паролями. Далее киберпреступник копирует полученную информацию и использует ее в своих целях.
• Удаленный взлом операционной системы компьютера. Злоумышленники применяют брутфорс и взламывающие утилиты, чтобы получить доступ к чужому ПК. Сначала хакер находит уязвимое соединение, подходящее для атаки. Адрес пользователя можно добыть в программе или специальной базе. Словарь для перебора и список IP-адресов хакер вводит в настройки. Далее применяет полученные данные и утилиту Radmin (или ее аналог), чтобы управлять компьютером жертвы взлома.

Чтобы защитить компанию от сомнительных обращений, накрученных звонков и контролировать лидогенерацию, подключите Антифрод от Calltouch. Технология выведет на чистую воду спам и соберет данные о коммуникациях с клиентами. В результате вы оптимизируете рекламные расходы, работу контакт-центра или отдела продаж и продолжите сотрудничество только с качественными площадками, которые обеспечат целевой трафик.

Цели брутфорса

Брутфорс используют, чтобы украсть:

• аккаунт в соцсети или онлайн-игре;
• конфиденциальные сведения, документы или персональные данные;
• цифровую валюту;
• интеллектуальную собственность;
• информацию из личных переписок.

Также после брутфорс-атак злоумышленники могут рассылать спам, продавать базы взломанных аккаунтов, вымогать деньги и совершать множество других противоправных действий.

Если хакер получил доступ к компьютерной сети, он сможет осуществить преступные действия от имени пользователей или шантажировать их.

Знания про маркетинг, аналитику, диджитал, быстро и бесплатно

• Новый скилл всего за 1,5 часа
• Практические знания
• Интерактивные юниты
• Без оплат и встроенных покупок

Пройти юнит

Опасность брутфорса

Характер и степень риска зависят от целей злоумышленников и уровня защиты пользователей. Брутфорс можно применять в благих или преступных целях, как и любую новую технологию в сфере информационной безопасности. Например, беспилотник WASP создан для сбора показателей домашних сетей Wi-Fi, но при этом он способен автоматически взламывать пароли и перехватывать мобильные звонки с помощью брутфорса.

Использование брутфорса может обернуться уголовной ответственностью, согласно статье №272 УК РФ. А жертва взлома рискует репутацией и финансами. Особенно в случае взлома банковских систем и баз данных крупных корпораций.
В 2021 году по данным Microsoft злоумышленники совершили около 14 миллиардов брутфорс-атак – это на 325% больше, чем в 2020.

Как защититься

Исследователь безопасности Microsoft Росс Бевингтон предоставил статистику по 25 миллионам попыток брутфорс-атак. Выводы следующие:

• в 77% случаев взламывают пароли, содержащие до 7 символов;
• в 6% случаев – от 10 символов;
• в 7% случаев взламывают пароли с добавлением специального символа (например, !, @, #, $, %, ^, &, *, (, ), -, _, +, =, ;, :, ., /, ?, \, |, `, ~, [, ], {, }).

Из этого следует рекомендация: используйте длинный пароль, добавляйте специальные символы, настройте многофакторную аутентификацию и не сообщайте окружающим данные, которые содержатся в пароле.

Для компаний доступны и другие механизмы защиты информации:

• капча – дополнительный код, который пользователи переписывают с изображения в специальное поле;
• повторная аутентификация – отправка СМС на телефон или email на почту с уникальным кодом после ввода основного пароля;
• запрет входа в аккаунт после ряда неудачных попыток – временная блокировка пользователя после ввода неверного пароля более трех раз;
• список требований к паролю – определенное количество символов, использование цифр, латинских, заглавных букв и специальных знаков ($, ?, !, <, >, ”, #, %, @ и не только);
• принудительная периодическая смена пароля (например, раз в 3 месяца);
• подробная инструкция по восстановлению доступа к аккаунту и четкий алгоритм действий при подозрении на попытку взлома.

Усовершенствуйте клиентский сервис с помощью мультикнопки с ссылками на ваши мессенджеры и соцсети. Так пользователям будет проще с вами связаться. Виджеты Calltouch помогут увеличить конверсию сайта и привлекут новых клиентов и подписчиков.

Эффективный маркетинг с Calltouch

• Анализируйте весь маркетинг и продажи в одном окне
• Удобные дашборды и воронки от показов рекламы до ROI

Узнать подробнее

Чтобы не стать жертвой взлома, не применяйте в качестве пароля:

• известные сочетания символов (например, agent007);
• комбинацию из символов, которые расположены на клавиатуре подряд: xswzaq, 987654321, zxcvbn и подобные;
• сведения о себе и родственниках: ФИО, дату рождения, кличку питомца, адрес, номер паспорта, страхового свидетельства и других документов;
• пароль от другого сервиса.

Сделайте пароль сложным, но запоминающимся, чтобы не приходилось оставлять напоминания в блокноте, заметках, сообщениях. Иначе повысится риск его кражи.

Коротко о главном

• Брутфорс паролей – самый распространенный инструмент взлома учетных записей.
• Методом подбора достаточно легко узнать несложный пароль, особенно с помощью специальных хакерских программ.
• Для защиты своих данных не игнорируйте рекомендации по созданию надежного пароля. Используйте разные символы, сочетание которых невозможно угадать.
• Периодически меняйте пароль и используйте повторную аутентификацию.

Маркетинг

Читайте также:

Как удалить видео в ТикТоке в своем профиле

Как удалить видео в ТикТоке в своем профиле