קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

התקפות סייבר רבות מתחילות בתוקפים שמקבלים גישה לרשת שלך. אולי הם לא יתקבלו בברכה, אבל פושעי סייבר לא צריכים את רשותכם כדי לפרוץ פנימה.

עם טכניקות כמו התקפות ספירה, הם יכולים לחמוק ליד ההגנות שלך. האחריות היא עליך להקשות עליהם, אם לא בלתי אפשרי. מהן באמת התקפות ספירה? איך הם עובדים? ואיך אפשר למנוע אותם?

מהן התקפות ספירה?

התקפות ספירות הן טכניקות פריצה שתוקפים משתמשים כדי לקבל גישה לא מורשית למערכת על ידי ניחוש אישורי הכניסה של המשתמשים. א צורה של התקפת כוח גס, ההאקר מנסה שמות משתמש וסיסמאות שונים עד שהם מקבלים את השילובים הנכונים.

כיצד פועלות התקפות ספירה?

למערכת ממוצעת יש אימות או הרשאה מובנית שמשתמשים צריכים לעבור כדי לקבל גישה. זה לרוב בצורה של חלון כניסה למשתמשים קיימים, חלון הרשמה למשתמשים חדשים להירשם, וכרטיסיית "שכחתי סיסמה" למשתמשים קיימים שאולי שכחו את הסיסמאות שלהם.

ההאקר מנצל את התכונות האמורות כדי להפעיל התקפות ספירה בדרכים הבאות.

1. ניחוש שמות משתמש קיימים עם כוח גס

instagram viewer

השלב הראשון של מתקפת ספירה גורם להאקר להזין אישורי התחברות כלשהם כדי לקבל משוב מהמערכת. למשל, נניח שם משתמש א קיים במסד הנתונים של יישום האינטרנט שלך. אם התוקף יזין אותה יחד עם סיסמה, הוא יקבל הודעה שהסיסמה שהזינו נכונה אך הסיסמה לא. ואם שם משתמש א אינו נמצא במסד הנתונים שלך, הם יקבלו התראה שלא שם המשתמש ולא הסיסמה קיימים.

התוקף שואף להשיג כמה שיותר שמות משתמש חוקיים. על כל שם משתמש לא חוקי שהם מקבלים, הם מנסים וריאציות שונות של שם המשתמש בכוח גס.

מכיוון שמשתמשי אינטרנט בדרך כלל יוצרים שמות משתמש שאנשים מכירים או יכולים להתייחס אליהם, מתוך וריאציות שמות המשתמש הרבות שהתוקף מכניס למערכת, חלקן יהיו תקפות.

2. התאמה בין שמות משתמש קיימים לסיסמאות אפשריות

ניחוש נכון של שם המשתמש הוא רק חצי מהעבודה. כדי לגשת למערכת שלך, התוקפים חייבים לספק גם את הסיסמה הנכונה של שם המשתמש. הם משתמשים בכוח גס כדי ליצור מספר וריאציות של סיסמה, בתקווה למצוא התאמה לכל שם משתמש.

3. שימוש במילוי אישורים כדי למצוא שמות משתמש וסיסמאות חוקיים

תוקפים למנף מלית אישורים לבצע התקפות ספירות על ידי שימוש בצמדי שם המשתמש והסיסמא שהם גנבו מרשתות אחרות כדי לגשת לרשת שלך.

שימוש באותו שם משתמש וסיסמה ביותר מיישום אינטרנט אחד אינו בריא ועלול לחשוף אותך למספר פריצות. אם אישורי הכניסה שלך מגיעים לידיים הלא נכונות, כל מה שהם צריכים לעשות הוא לנסות אותם ביישומי אינטרנט אחרים שבהם אתה משתמש.

בעוד שכל אישורי הכניסה שתוקף מאחזר מאתרים אחרים עשויים להיות לא חוקיים, חלקם מתגלים כתקפים, במיוחד כשאנשים מסוימים חוזרים על אותו שם משתמש וסיסמה.

4. שימוש בהנדסה חברתית לאיסוף אישורי התחברות מלאים

האקר נחוש יכול למנף הנדסה חברתית כדי לבצע מתקפת ספירה. אֵיך? לאחר שימוש בכוח גס כדי להשיג שמות משתמש חוקיים ביישום אינטרנט, אם מאמצים אחרים להשיג את הסיסמאות הנכונות עבור שמות המשתמש הללו נכשלים, הם עלולים לפנות להנדסה חברתית כדי לקבל את הסיסמאות ישירות מהמשתמשים.

עם שמות משתמש חוקיים בהישג יד, ההאקר יכול לשלוח הודעות זדוניות למשתמשים באמצעות דואר אלקטרוני או הודעות טקסט, תוך התחזות למפעילי הפלטפורמה. הם יכולים לרמות את המשתמשים לספק את הסיסמאות שלהם בעצמם. הודעות כאלה עשויות להיראות לגיטימיות לקורבנות תמימים מכיוון שלפושע הסייבר יש כבר את שמות המשתמש הנכונים שלהם.

כיצד ניתן למנוע התקפות ספירה?

התקפות ספירה משגשגות על התגובה שהם מקבלים מיישומי אינטרנט כאשר משתמשים מנסים להיכנס. אם תוציא את המידע הזה מהמשוואה, קשה יותר להוציא אותם לפועל מכיוון שלפושעי סייבר יהיה מעט מידע לעבוד איתו. אז איך אתה יכול למנוע את ההתקפות האלה או לצמצם את התרחשותן למינימום המינימלי?

1. מנע משוב על התחברות עם אימות מרובה גורמים

כל מה שתוקף צריך לעשות כדי לדעת את תקפותו של שם משתמש באפליקציית אינטרנט הוא להזין כמעט כל שם משתמש, והשרת ייתן לו את המידע הדרוש לו. אתה יכול למנוע מהם לקבל מידע זה בקלות על ידי הטמעת אימות רב-גורמי.

כאשר משתמש, או תוקף במקרה זה, מזין את אישורי הכניסה שלו כדי לגשת לאפליקציה שלך, בקש ממנו לאמת את זהותו בדרכים מרובות כגון מתן סיסמאות חד פעמיות (OTP), קודי דואר אלקטרוני או שימוש באפליקציות אימות.

2. צמצם את ניסיונות הכניסה באמצעות CAPTCHA

לפושעי סייבר יש את החירות להפעיל התקפות ספירה כאשר יש להם ניסיונות כניסה בלתי מוגבלים. זה נדיר שהם מנחשים את שם המשתמש והסיסמה הנכונים עם כמה ניסיונות התחברות בלבד.

יישם CAPTCHA כדי להאט אותם ולסכל את המאמצים שלהם. מכיוון שהם לא יכולים לעקוף את ה-CAPTCHA באופן אוטומטי, סביר להניח שהם יהיו מתוסכלים בוודאות שהם אנושיים לאחר כמה ניסיונות.

3. אמצו הגבלת קצב כדי לחסום כניסות מרובות

שחקני ספירה משגשגים על ניסיונות הכניסה המרובים הזמינים ביישומי אינטרנט. הם יכלו לנחש את שמות המשתמש והסיסמאות כל היום עד שימצאו התאמה.

אם יש לך מגבלת תעריף ברשת שלך, הם יכולים לנסות להיכנס רק מספר מסוים של פעמים. אם הם לא יצליחו בניסיונות אלה, הרשת שלך תחסום את כתובות ה-IP או שמות המשתמש שלהם.

החיסרון של הגבלת תעריפים הוא שהיא משפיעה על משתמשים לגיטימיים שאולי באמת לא זוכרים את אישורי הכניסה שלהם. אתה יכול להפחית זאת על ידי מתן חלופות למשתמשים כאלה כדי לקבל גישה מחדש.

4. התקן חומת אש של יישום אינטרנט

חומת אש של יישום אינטרנט היא כלי שחוסם ניסיונות התחברות מרובים מכתובות IP זדוניות או חשודות. זה עובד עם קבוצה של תקני אבטחה כדי לבחון את התעבורה לשרתי הרשת שלך, תוך עמידה בדרישות האבטחה המתוארות של HTTPS ו-SSL.

עם חומת אש של יישומי אינטרנט, לשחקני ספירה אין את המותרות של זמן לפרוץ למערכת שלך.

אבטח את אישורי הכניסה שלך כדי למנוע התקפות ספירה

התקפות ספירה מעלות חששות לגבי גישה ושימושיות לרשת. היית רוצה שמשתמשי הרשת שלך יוכלו לקבל גישה ללא כל טרחה. אך בכך, עליך לנקוט באמצעים שלא יחשפו את הרשת שלך לאיומי סייבר והתקפות.

אל תירה לעצמך ברגל על ​​ידי סיוע לשחקני סייבר עם אישורי הכניסה שלך לרשת. הקפד להסתיר מידע כזה ככל שאתה יכול. אם הם לא יודעים זאת, הם יהיו בחושך היכן שמגיע להם להיות.