Password Spraying là gì?
Password Spraying là một loại tấn công brute force liên quan đến việc kẻ xấu cố gắng sử dụng nhiều mật khẩu chung để có quyền truy cập. Chúng sẽ thử lần lượt một mật khẩu trên nhiều tài khoản và lần lượt thử nhiều mật khẩu chung khác để nhằm vượt qua các giao thức khóa tài khoản thông thường. Vì các cuộc tấn công Password Spraying liên quan đến việc thử một mật khẩu với nhiều tài khoản nên nó sẽ tránh được tình trạng khóa tài khoản thường xảy ra khi tấn công bằng cách dùng vũ lực một tài khoản duy nhất với nhiều mật khẩu.
Tấn công Password Spraying diễn ra như thế nào?
Tấn công Password Spraying thường bao gồm các giai đoạn sau:
Giai đoạn 1: Kẻ tấn công sẽ mua danh sách tên người dùng hoặc họ tự tạo danh sách riêng
Để bắt đầu một cuộc tấn công Password Spraying, kẻ tấn công sẽ bắt đầu bằng cách mua danh sách tên người dùng, danh sách đã bị lấy cắp từ nhiều tổ chức khác nhau. Danh sách người dùng thường được rao bắn phổ biến trên dark web. Ngoài ra, kẻ tấn công cũng có thể tự tạo danh sách của mình bằng cách làm theo định dạng mà địa chỉ email của công ty và sử dụng danh sách nhân viên lấy từ các nguồn trên mạng.
Giai đoạn 2: Kẻ tấn công có được danh sách các mật khẩu phổ biến
Các cuộc tấn công Password Spraying kết hợp danh sách các mật khẩu phổ biến hoặc mặc định. Việc tìm ra mật khẩu phổ biến nhất rất đơn giản. Kẻ tấn công cũng có thể tự nghiên cứu để đoán mật khẩu.
Giai đoạn 3: Kẻ tấn công thử nhiều tên người dùng – mật khẩu khác nhau.
Khi kẻ tấn công mạng có danh sách tên người dùng, mật khẩu mục đích của chúng là thử cho đến khi tìm ra được kết quả như mong đợi. Thường quá trình này sẽ được tự động hóa bằng cách công cụ Password Spraying. Kẻ tấn công mạng sẽ sử dụng một mật khẩu cho nhiều tên người dùng, sau đó lặp lại quy trình với mật khẩu theo danh sách. Điều này để tránh vi phạm chính sách khóa hoặc trình chặn địa chỉ IP hạn chế nỗ lực đăng nhập sau nhiều lần nhập sai.
Dấu hiện nhận biết một cuộc tấn công Password Spraying?
Sau đây là ba dấu hiệu để nhận biết một cuộc tấn công Password Spraying bạn có thể tham khảo:
- Tăng đột biến số lần đăng nhập không thành công: Việc Password Spraying có thể bao phủ rất nhiều tài khoản trong một tổ chức cùng lúc nên số lượng lớn đăng nhập không thành công trong thời gian ngắn là dấu hiệu của một cuộc tấn công Password Spraying.
- Số lượng tài khoản bị khóa cao: Password Spraying tránh thời gian chờ bằng cách đợi đến lượt đăng nhập tiếp theo. Tuy nhiên, nếu bạn thấy số lượng tài khoản bị khóa cao bất thường thì đây cũng có thể là dấu hiệu của việc kẻ tấn công đã phun một lần, bị khóa và đang chờ để thử lại.
- Nỗ lực của người dùng không xác định hoặc không hợp lệ: Kẻ tấn công thực hiện Password Spraying không có khả năng danh sách thông tin người dùng hoàn toàn chính xác. Họ chỉ đang đoán hoặc mua danh sách thông tin đã cũ trên mạng. Nếu bạn thấy nhân viên cũ hoặc tên người dùng không hợp lệ đang cố gắng đăng nhập, thì đó có thể là dấu hiệu của tấn công Password Spraying.
Cách ngăn chặn tấn công Password Spraying hiệu quả
Các tổ chức/doanh nghiệp có thể bảo vệ doanh nghiệp của mình khỏi các cuộc tấn công Password Spraying bằng cách thực hiện các biện pháp phòng ngừa sau:
- Sử dụng tên người dùng và mật khẩu mạnh, khó đoán
- Xóa các tài khoản người dùng không sử dụng có quyền cấp cao
- Xem lại các quyền thường xuyên và điều chỉnh phạm vi cho phù hợp
- Mã hóa mật khẩu cho các hệ thống có tỷ lệ mã hóa cao
- Cài đặt khóa tài khoản sau một số lần đăng nhập không thành công
- Triển khai Captcha khi chắc năng khóa không khả thi
- Yêu cầu người dùng thay đổi mật khẩu mặc định sau lần đăng nhập đầu tiên
- Bật xác thực hai yếu tố 2FA
- Các nhóm CNTT nên triển khai tính năng phát hiện các nỗ lực đăng nhập vào nhiều tài khoản xảy ra từ một máy chủ duy nhất trong thời gian ngắn
- Sử dụng cách đăng nhập tài khoản bằng sinh trắc học
- Triển khai phương pháp bảo mật Zero Trust
- Thường xuyên theo dõi nhật ký để tìm những dấu hiệu như đã cảnh báo.
Kết luận
Các tấn công Password Spraying là mối đe dọa cho các doanh nghiệp khi không chuẩn bị được trước các biện pháp bảo mật, gây ra lỗ hổng để kẻ xấu tấn công vào hệ thống. Việc triển khai các biện pháp phòng thủ đã được LANIT chia sẻ trên đây sẽ giúp tổ chức chủ động trong việc phòng tránh được các cuộc tấn công mạng như Password Spraying.
Ngoài ra, nếu doanh nghiệp bạn đang cần một giải pháp lưu trữ an toàn và chất lượng thì dịch vụ VPS giá rẻ, cho thuê máy chủ vật lý tặng kèm Firewall chống DDoS của LANIT là giải pháp tin cậy mà bạn không nên bỏ qua. Liên hệ ngay để được tư vấn và hỗ trợ sớm nhất nhé!