Schwache, ungesicherte, gestohlene und wiederverwendete Passwörter begünstigen die Internetkriminalität. Sie ermöglichen es Hackern, auf Ihr System zuzugreifen und die Informationen auf beliebige Weise zu nutzen. Sie können sogar Ihr gesamtes Vermögen verlieren, wenn jemand Ihre Passwörter stiehlt.
Schwören Sie also an diesem Welt-Passwort-Tag, Ihre Konten mit den besten Präventivmaßnahmen gegen die 9 unten aufgeführten Arten von Passwortangriffen zu schützen. Lesen Sie weiter, um herauszufinden, worum es sich dabei handelt und wie sie funktionieren.
Phishing
Phishing ist einer der am häufigsten gemeldeten Passwortangriffe. Eine Studie aus dem Jahr 2021 ergab, dass 83% der befragten Unternehmen von Phishing-Angriffen per E-Mail berichteten, bei denen die Angreifer die Benutzer dazu verleiten, auf bösartige Links zu klicken oder diese herunterzuladen.
Es ist leicht, diese Art von Passwortangriffen zu versuchen, da sich die Hacker als echte und vertrauenswürdige Quellen ausgeben, denen Sie antworten und vertrauliche Anmeldedaten mitteilen können. Hier sind vier gängige Methoden, mit denen Hacker Phishing-Opfer angreifen:
Normales Phishing
Beim normalen Phishing erhalten Sie eine echt aussehende E-Mail mit der Aufforderung, Ihr Passwort zurückzusetzen. Wenn Sie fortfahren, ohne die Echtheit des Absenders zu bestätigen, könnten Sie Ihre Anmeldedaten Angreifern preisgeben. Dies geschieht in der Regel, indem Sie auf eine gefälschte Website umgeleitet werden, die legitim erscheint.
Spear-Phishing
Beim Spear-Phishing-Angriff auf Passwörter senden die Angreifer E-Mails mit einer E-Mail-Adresse, die Sie kennen (in der Regel ein Freund oder Kollege). Normalerweise werden Sie beim Öffnen der E-Mail aufgefordert, auf einen bösartigen Link zu klicken oder ihn herunterzuladen.
Smishing und Vishing
Dabei handelt es sich um zwei Arten von Passwortangriffen, bei denen Sie entweder eine betrügerische SMS (Smishing) oder einen Sprachanruf (Vishing) erhalten, in dem Sie aufgefordert werden, Anmeldedaten weiterzugeben oder Geld zu überweisen.
Whaling
Bei einem Whaling-Angriff erhalten Sie eine E-Mail von einer hochrangigen Person in Ihrem Unternehmen, die Sie um sensible Informationen bittet. Viele von uns bestätigen den Wahrheitsgehalt einer solchen E-Mail nicht und senden die angeforderten Informationen bedenkenlos.
Brute-Force-Angriffe
Bei einem Brute-Force-Angriff werden Passwörter durch die Hit-and-Try-Methode gestohlen. Die Hacker versuchen mehrfach und systematisch, mithilfe automatisierter Programme an Passwörter zu gelangen. In der Regel können sie die Anzahl der Eingaben eines Kennworts umgehen, wodurch es noch einfacher wird, Ihr Konto zu hacken. Eine wirksame Präventivmaßnahme gegen Brute-Force-Angriffe auf Passwörter ist die Verwendung eines sicheren Passwortmanagers.
Ein Maskenangriff ist eine Taktik zum Knacken von Passwörtern, die es Hackern ermöglicht, nicht benötigte Zeichenkombinationen auszulassen. Dies verkürzt die Zeit, die zum Hacken Ihres Passworts benötigt wird.
Zu den wichtigsten Arten von Brute-Force-Angriffen gehören Passwort-Spraying-Angriffe und Wörterbuch-Angriffe.
Passwort-Spraying
Bei einem Passwort-Spraying-Angriff verwenden die Angreifer eine Auswahl gängiger Passwörter für eine große Anzahl von Konten. Sie zielen in der Regel auf eine bestimmte Cloud-basierte oder Anmeldeplattform ab. Wie der Begriff schon sagt, wird bei einem Passwort-Spraying-Angriff versucht, Tausende (oder sogar Millionen) von Konten auf einmal zu hacken, um das Risiko zu verringern, dass der Hacker erwischt wird.
Wörterbuch-Angriffe
Bei Wörterbuch-Passwortangriffen versuchen Bedrohungsakteure eine Liste häufig verwendeter Wörter und Phrasen, anstatt Zeichen für Zeichen zu versuchen, wie bei Brute-Force-Passwortangriffen. Dazu gehören auch beliebte Haustiernamen, berühmte Filmfiguren und sogar offen zugängliche Online-Informationen wie der Name Ihres Kindes, Geburtstage usw.
Credential Stuffing
Ein Angriff mit gestohlenen Passwörtern (Credential Stuffing) bezieht sich auf bösartige Akteure, die gestohlene Passwörter verwenden. Diese Technik basiert auf der menschlichen Psychologie, ähnliche Passwörter für mehrere Programme, Social-Media-Konten, Internet-Banking usw. zu verwenden.
Hacker stehlen Passwörter, um zu überprüfen, ob sie auch auf anderen Plattformen verwendet werden. Sie verwenden in der Regel automatisierte Tools, um zu überprüfen, welche gestohlenen Passwörter auf anderen Plattformen noch gültig sind. Deshalb ist es am besten, eine Zwei-Faktor-Authentifizierung zu verwenden, um Ihre wichtigen Daten zu schützen.
Keylogger-Angriffe
Bei Keylogger- oder Keystroke-Logger-Angriffen handelt es sich um eine Art Spyware – eine bösartige Software, die es Hackern ermöglicht, heimlich Informationen zu erhalten.
Keylogger-Passwortangriffe sind sehr schädlich, da sie selbst die stärksten Passwörter aufdecken können. Hacker müssen Passwörter nicht knacken, sondern zeichnen Ihre Tastenanschläge auf, wenn Sie tippen. Keylogger zeichnen nicht nur Passwörter auf, sondern auch alles, was Sie eingeben, was Ihre Privatsphäre noch mehr gefährdet.
Keylogger-Hacker müssen keine andere Technik anwenden, um Ihren Benutzernamen, Ihre Kreditkartennummer, Ihre Sozialversicherungsnummer und andere wichtige Informationen zu erfahren und Ihnen Schaden zuzufügen. Die beste Präventivmaßnahme für die digitale und physische Datensicherheit ist daher die Verschlüsselung mit einem Verschlüsselungsalgorithmus. Dies verhindert, dass Hacker auf Ihren Computer und Ihre Konten zugreifen können, selbst wenn sie Ihre Passwörter kennen.
Man-in-The Middle-Angriffe (MitM)
Bei einem Man-in-the-Middle-Passwortangriff sind drei Parteien beteiligt: Ein Benutzer, ein Hacker und die Plattform, auf die der Benutzer zuzugreifen versucht. Hacker schalten sich heimlich zwischen Benutzer und Dritte, um Daten abzufangen und zu stehlen. Sie können sich als Dritte tarnen und den ahnungslosen Benutzer auf eine legitim aussehende Webseite umleiten, ähnlich wie beim Phishing.
MY2022, eine App, die für alle Teilnehmer der Olympischen Winterspiele in Peking vorgeschrieben war, wurde mit der MitM-Angriffsmethode manipuliert. Sie enthielt sensible Informationen über die Spieler wie Passdaten, Krankengeschichte, demografische Daten usw. Die Angreifer konnten auch auf Audio- und andere hochgeladene Dateien zugreifen.
Mit Stand vom 17. Januar ist die Schwachstelle immer noch in der Version 2.0.5 von MY2022 für iOS vorhanden. Stellen Sie sich vor, wie dies den Teilnehmern und ihren Familien schaden kann.
Abfangen von Datenverkehr
Das Abfangen von Datenverkehr ist eine Art von MitM-Technik, die zur Durchführung von DOS-Angriffen mit langen Passwörtern eingesetzt wird. Bei einem Denial-of-Service- oder DOS-Angriff wird ein System heruntergefahren, so dass die Benutzer nicht mehr darauf zugreifen können. Beim Abfangen von Datenverkehr liest ein Angreifer heimlich Informationen über den Netzwerkverkehr mit oder hört ihn ab. Die üblichen Einfallstore für diese Art von Passwortangriffen sind ungesicherte WLAN- oder unverschlüsselte Netzwerkverbindungen.
Dies ist auch mit SSL-Hijacking möglich, bei dem Bedrohungsakteure eine Brücke schaffen, um Informationen abzufangen, die zwischen zwei Parteien ausgetauscht werden. Bei den abgefangenen Informationen kann es sich auch um ein Passwort handeln.
Rainbow Table Attacks
Um Passwortangriffe mit der Rainbow-Table-Methode zu verstehen, sollte man zuerst das Hashing verstehen. Hashing ist ein Verfahren, bei dem Unternehmen die Passwörter der Benutzer mathematisch umwandeln und verschlüsseln. Dadurch werden sie als kryptografische Sequenzen gespeichert, so dass Hacker nur die verschlüsselten Werte und nicht die eigentlichen Passwörter sehen.
Eine Regenbogen-Tabelle ist also der Schlüssel zur Entschlüsselung verschlüsselter Passwörter beim Hashing. So können Hacker die Werte mit einer Regenbogen-Tabelle vergleichen und zahlreiche Passwörter entschlüsseln.
Fazit
Hacker werden immer raffinierter und schlauer, wenn es darum geht, mithilfe automatisierter Tools an Passwörter zu gelangen. Bei einem Phishing-Angriff geben sich Hacker als vertrauenswürdiger E-Mail-Absender aus, während sie bei einem Brute-Force-Angriff die Trial-and-Error-Methode anwenden, um Passwörter zu knacken.
Am besten verwenden Sie unterschiedliche Passwörter für alle wichtigen Konten, da Bedrohungsakteure möglicherweise Credential Stuffing, Keylogging und andere Techniken einsetzen, um auf diese Konten zuzugreifen. Verwenden Sie immer ein starkes und unmissverständliches Passwort und befolgen Sie eine sichere Praxis bei der Erstellung von Passwörtern, um online sicher zu bleiben und Ihre Konten zu schützen.