Was sind Brute-Force-Attacken – und wie kann man sich vor ihnen schützen?
von Tina Siering
Was ist eine Brute-Force-Attacke – und wie verhindert man sie?
Es gibt elegante, hinterhältige und raffinierte Cyberangriffe – und es gibt Brute-Force-Attacken. Bei Brute-Force-Angriffen gehen Hacker vergleichsweise stumpf vor, in dem sie automatisiert so viele Passwort-Kombinationen zu einem Nutzerzugang ausprobieren, wie nur möglich. Immer mit der Hoffnung, dass eine der ausprobierten Kombinationen dann zum Erfolg führt. Ein Erfolg beziehungsweise Misserfolg hängt bei Brute-Force-Attacken von nur zwei Faktoren ab: Zeit und verfügbare Ressourcen. Denn prinzipiell lässt sich jedes Passwort durch schlichtes Ausprobieren von möglichen Kombinationen lösen. Die Zeit, die für den Hack benötigt wird, steigt dabei proportional zur Komplexität des verwendeten Passwortes. Moderne Hochleistungs-Rechner, wie sie vor allem von organisierten Cyberkriminellen verwendet werden, können in kürzester Zeit Milliarden von Kombinationen ausprobieren.
Welche Methoden werden bei Brute-Force-Angriffen verwendet?
Methode 1: Einfache Brute-Force-Angriffe
Mit minimaler Rechenleistung, ein wenig Geschick seitens des Angreifers und Geduld lassen sich einfache Brute-Force-Angriffe durchführen. Hierbei gehen der oder die Angreifer systematisch durch Wortkombinationen, Zahlenfolgen oder einem Mix aus beidem, bis der Angriff erfolgreich ist. Mit einem einfachen Bot lassen sich viele Passwörter erraten, selbst manuell ausgeführt sind viele Angriffe noch erfolgreich. Der Grund liegt in der Faulheit der Anwender. Passwörter wie „12345“, der eigene Geburtstag oder der absolute Passwort-Klassiker „passwort“ sind auch 2022 nicht totzukriegen.
Methode 2: Wörterbuch-Attacken
Mit komplexen Wörtern, die außer einem selbst niemand sonst mit dem eigenen Account in Verbindung bringt, versuchen viele Anwender, ihre Zugänge abzusichern. Tatsächlich sind einfache Brute-Force-Attacken bei komplexen Passwörtern schnell am Ende. Das wissen auch die Cyberkriminellen, und setzen auf die sogenannten Wörterbuch-Attacken. Hierbei werden digitale Wörterbücher oder Wort-Listen als Hilfe verwendet und vollautomatisch abgearbeitet. Einzelne Wörter, Wortkombinationen, unterschiedliche oder veraltete Schreibweisen und Fremdsprachen: Anwender, die auf ein einzelnes Wort als Passwort setzen, sind ihren Schutz in nur wenigen Sekunden los – und der Account in den Händen der Cyberkriminellen.
Methode 3: Hybride Brute-Force-Angriffe
Bei der Hybridform der Brute-Force-Angriffe kombinieren die Angreifer Techniken der einfachen Brute-Force-Attacken mit Wörterbuchangriffen. Bei dieser Methode werden häufig verwendete Passwörter mit zufällig generierten Zeichen und Wörterbucheinträgen kombiniert. Dank im Darknet eingekaufter Listen, statistischen Zuordnungen einzelner Bevölkerungsgruppen und Verhaltensbeobachtungen finden Cyberkriminelle heraus, wer welche Wortkombinationen wo am häufigsten einsetzt. Wenn Sie der Meinung sind, dass Ihr gewähltes Passwort „ITS3CUri7y-22“ sicher ist, dann müssen wir Sie enttäuschen. Denn genau auf derartige Kombinationen haben sich hybride Brute-Force-Attacken spezialisiert.
Methode 4: Umgekehrte Brute-Force-Attacken
Einmal kompromittierte Passwörter landen häufig als Leak im Darknet. Eine inspirierende Quelle für Cyberkriminelle, die zu den Passwörtern dann nur noch den passenden Nutzernamen herausfinden müssen. Sehr viele Anwender beachten die grundlegendsten Sicherheitsanforderungen für eine Login-ID nicht – was das Hacken von Nutzernamen zu einer ziemlich lukrativen Angelegenheit macht. Mit umgekehrten Brute-Force-Attacken holen sich Cyberangreifer den passenden Namen zu einem Passwort, in dem die Reihenfolge des „klassischen“ Brute-Force-Angriffs einfach umgedreht wird. Die Hacker starten mit einem bekannten Passwort und probieren dazu automatisiert alle möglichen (und unmöglichen) Nutzer-IDs aus.
Methode 5: Credential Stuffing
Credential Stuffing nutzt die Macht der Gewohnheit aus – und ist dadurch zu einer unheimlich effizienten Methode geworden, der wir bereits vor fast genau einem Jahr bereits einen eigenen Blogartikel gewidmet hatten. Credential Stuffing setzt darauf, dass viele Anwender ein „Lieblingspasswort“ haben, das sie auf unterschiedlichsten Seiten für den Login verwenden. Das Lieblingspasswort ist dabei meist noch nicht mal besonders sicher – oder wenn es das ist, wird es gerne direkt im Browser abgespeichert. Cyberkriminelle wissen um die Macht der Gewohnheit und gehen gerne im Darknet auf Einkaufstour. Hier gibt es zahlreiche Listen, die durch Cyberangriffe oder Leaks ins Netz gelangt sind und Anmeldedaten fein säuberlich sortiert aufführen. Beim Credential Stuffing werden Bots mit den verfügbaren Anmeldedaten gefüttert – und auf unterschiedlichste Webseiten losgelassen. Erfolgreiche Anmeldeversuche werden von den Hackern aufgezeichnet und anschließend entweder für weitere Cyberangriffe genutzt oder im Darknet weiterverkauft.
Wozu nutzen Cyberkriminelle Brute-Force-Attacken?
Die Motivation hinter Brute-Force-Attacken gestaltet sich äußerst variantenreich. Viele Hacker nutzen die Methode, um die Kontrolle über ein System zu übernehmen oder um Zugriff auf eigentlich versteckte Seiten zu erlangen. Auch die Verteilung von Malware steht ganz weit oben auf der „To-Do-Liste“ der Cyberangreifer. Schauen wir uns die Motivation doch mal im Detail an.
Spam, Spam und noch mehr Spam
Werbung im Internet ist immer lästig – aber nach wie vor überaus lukrativ. Mit illegal beschafften Zugängen zu Webseiten können Hacker ahnungslose Besucher mit Werbeanzeigen bombardieren – und pro Klick oder Einblendung Geld verdienen. Ebenfalls beliebt ist das vom Besucher unbemerkte Umleiten auf eine Pharming-Webseite. Diese sieht dem Original täuschend ähnlich, liefert aber Spam statt der gewünschten Mehrwerte.
Malware
Gerne und häufig werden Brute-Force-Attacken dazu genutzt, Malware aller Art innerhalb eines Systems weiterzuverbreiten. In harmlosen Fällen wird „nur“ Adware auf das kompromittierte System geschleust, durch die fortan der Anwender mit Werbung überhäuft wird. In heiklen Fällen kann durch Malware der Zugriff auf sensible, persönliche Daten gelingen.
Daten stehlen
Haben sich Hacker durch einen Brute-Force-Angriff einmal Zutritt zu einem System verschafft, können sie in vielen Fällen ungehindert Daten aller Art abgreifen. Von Kontoinformationen bis hin zu Geschäftsgeheimnissen lesen Hacker in kompromittierten Systemen wie in einem offenen Buch.
Produkte bestellen
Im Januar 2022 hat ein Brute-Force-Angriff aus dem Ausland auf den großen Online-Buchhändler Thalia stattgefunden. Bei der Attacke, die über mehrere Stunden lief, wurden zahlreiche Zugangsdaten gehackt. Zwar konnte Thalia keine auffälligen Bestellungen über die gehackten Accounts feststellen, dennoch gehört das Bestellen von Produkten auf fremde Rechnung zu einem der häufigsten Motivationen bei Brute-Force-Attacken. Unmittelbar nach Bekanntwerden des Hackerangriffs wurden umfangreiche Gegenmaßnahmen eingeleitet und die Passwörter betroffener Konten zurückgesetzt.
Schutz vor Brute-Force: So sichern Sie sich und Ihr Unternehmen ab
Die gute Nachricht zuerst: es bedarf keiner hoch spezialisierter IT Security, um den Cyberangriffen mittels Brute-Force-Methoden einen Riegel vorzuschieben! Mit folgenden Handlungsweisen sichern Sie Ihren Zugang und Ihr Unternehmen bereits gut ab:
Passwort-Richtlinien festlegen
Mit festgelegten Richtlinien werden Mitarbeiter eines Unternehmens zuverlässig daran gehindert, zu schwache Passwörter zu verwenden oder einmal verwendete Passwörter nach Ablauf einer Frist erneut einzusetzen. Die Richtlinie sollte auch beinhalten, dass Passwörter weder schriftlich festgehalten noch unverschlüsselt gespeichert oder verschickt werden dürfen.
Passwort-Management-Software
Mit der automatisierten Einrichtung und Verwaltung von Passwörtern wird die Sicherheit der Zugänge deutlich erhöht. Passwort-Management-Software stellt hochkomplexe Passwörter bereit, bietet eine zentralisierte Passwortverwaltung und nicht zuletzt eine erkennbare Zeit- und Kostenersparnis.
Multi-Faktor-Authentifizierung
Ein starkes Passwort ist gut – eine Multi-Faktor-Authentifizierung ist besser! Bei der MFA sind zwei oder mehr Berechtigungsnachweise erforderlich, um Zugang zu einem System zu erhalten. Gängig ist beispielsweise die Kombination aus Passwort-Eingabe und Code, der auf das Smartphone gesendet wird.
Aktiv agieren, statt passiv zu reagieren
Wenn Brute-Force-Attacken bereits in der Frühphase des Angriffs erkannt werden, lassen sich die allermeisten größeren Probleme verhindert. Mit Active Cyber Defense, dem Managed Service zur Angriffsfrüherkennung von Allgeier secion, werden.Angriffsaktivitäten im Netzwerk so rechtzeitig detektiert, dass effiziente Gegenmaßnahmen eingeleitet werden können.
Fazit
Brute-Force-Attacken sind weder komplex noch intelligent – aber umso erfolgreicher. Dabei bedarf es keiner teuren, hoch spezialisierten IT Security, um den Angriffen einen Riegel vorzuschieben. Das regelmäßige Ändern von Passwörtern, der Einsatz von Passwort-Managern und zweistufige Authentifizierungsverfahren machen das Abgreifen von Nutzerdaten zwar immer noch nicht unmöglich, aber die kleinen Maßnahmen erschweren den Cyberangreifern immerhin ihre Machenschaften.
Für die effektive Angreiferfrüherkennung - auch und gerade bei Brute-Force-Attacken - empfiehlt sich der 24/7-Threat Hunting- und Incident Response-Service von Allgeier secion. Active Cyber Defense analysiert das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien. Im Fall einer Kompromittierung der Netzwerke, informiert das ACD-Team unmittelbar und liefert konkrete Handlungsempfehlungen, um Schäden durch die Angreifer abzuwenden - für eine zuverlässige Erkennung von Cyberangriffen in der Frühphase.
Brauchen Sie Unterstützung, um Ihre IT Security für 2022 aufzurüsten? Kontaktieren Sie uns!
Zum Thema passende Artikel
IT-Sicherheit hängt nicht nur von der Infrastruktur und eingesetzten Sicherheitstechnologien ab, sondern zu einem bedeutenden Teil auch von den Menschen, die die digitalen Systeme nutzen. Während die verwendeten Security-Technologien mittlerweile hoch zuverlässig arbeiten, wird der Mensch immer mehr zur Schwachstelle. Cyberkriminelle suchen sich in der Regel den einfachsten Weg, um an Daten zu gelangen oder in ein Netzwerk einzudringen – und dieser Weg führt viel zu häufig über unbedarfte, uninformierte Mitarbeiter und Mitarbeiterinnen. Eine funktionierende Kultur der Cybersicherheit zu etablieren, alle Mitarbeiter regelmäßig für bestehende Bedrohungen zu sensibilisieren und als „human firewall“ in das Sicherheitskonzept einzubinden, ist heute entscheidend für die gesamte IT-Sicherheit eines Unternehmens.
Weiterlesen … Human Firewall: Wie man erfolgreich eine Cybersecurity Culture aufbaut
Unter allen Gefahren, die im Internet lauern, gelten Botnetze als eine der größten Bedrohungen überhaupt. Ob in Form eines Webcrawlers oder als Absender einer Spam-Mail – mit Robotern (kurz Bots, abgeleitet vom englischen “robot”) war sicherlich jeder Anwender bereits konfrontiert. Botnetze zählen zu den wichtigsten Untergrund-Infrastrukturen, die Cyberkriminellen den Zugriff auf beliebig viele infizierte Rechner gleichzeitig – und mit einer unglaublichen Vielzahl an Optionen – ermöglichen. Sie gehören damit zu den lukrativsten, illegalen Einnahmequellen und stellen für Unternehmen und Organisationen eine immense Gefahr dar. Entsprechend professionell agieren profitorientierte Cyberorganisationen, Syndikate und Hacktivisten. Erfahren Sie in diesem Beitrag, wie Botnetze funktionieren und wie Sie sich am besten vor ihnen schützen können.
Weiterlesen … Gefahr durch “Zombie-Rechner” – so schützen Sie sich vor Botnetzen
Malware-Angriffe befinden sich seit Jahren weltweit auf dem Vormarsch. Dabei haben sich jüngst vor allem vier Ransomware-Arten herauskristallisiert, die besonders häufig zum Einsatz kommen. Sie sind für mehr als zwei Drittel aller Ransomware-Attacken verantwortlich und stellen sowohl für große Konzerne als auch für kleine und mittlere Unternehmen eine große Bedrohung dar. Leider fehlen in Unternehmen und Organisationen gerade kleineren Cybersicherheits-Teams die nötigen Mittel, um sich im Kampf gegen die aggressiven Hackergruppen ausreichend aufstellen zu können. Ein effektiver Schutz ist mit der richtigen Strategie aber dennoch möglich.
Weiterlesen … Die 4 häufigsten Ransomware-Arten: So gefährlich sind sie für KMUs