אין סיסמה שהיא חזקה מספיק. מהן מתקפות Brute Force?
כאשר אנו מנסים להגן על הנתונים שלנו מפני פושעי סייבר, יש הגנה אחת שכולנו משתמשים בה: סיסמה. שמירה על מידע אישי, פרטי חשבון בנק וקבצים שונים מוגנים לרוב על ידי סיסמאות. סיסמה היא מפתח שפושעי הסייבר רוצים להשיג - והתקפות brute force מסייעות להם להשיג אותן. שמירה על היגיינת סיסמאות נכונה יכולה להיות משימה לא פשוטה בעידן הדיגיטלי בו אנו חיים. חברת אבטחת המידע ESET מסבירה מהי מתקפת brute force ומסתבר שכולנו מכירים אותה ממש ממזמן.
על פי מחקר של Specops משנת 2020:
· 48% מהנסקרים מחזיקים בממוצע 11 סיסמאות שונות בעבודה.
· רק ל-1.57% יש סיסמה קשיחה שמורכבת מאותיות גדולות, אותיות קטנות, ספרות וסימנים מיוחדים.
· 54% שומרים את הסיסמאות שלהם בצורה לא בטוחה. כותבים על נייר, או פתק, שומרים בקובץ במחשב או משתמשים בוריאציות שונות לאותה סיסמה.
עבור פושעי סייבר, פרטי ההתחברות שלנו הם מצרך יקר ומשתלם - וחברות מודעות לכך היטב. כדי להגן על הפרטיות של המשתמשים, עלינו לשאוף ללא הרף להפוך את האבטחה לקשיחה יותר, למשל, על ידי דרישת סיסמאות מורכבות מהעובדים.
ובכל זאת, חלק מהעובדים מזלזלים בפושעי סייבר ומאמינים שאם הם לא משתמשים בסיסמאות קצרות וקלות לפריצה כמו 123456, הסיסמאות שלהם מספיק בטוחות והם בטוחים מאיומים. זה לא יכול להיות יותר רחוק מהאמת. בהתקפות brute force, פושעי סייבר מנסים לנחש או להשיג פרטי התחברות של המשתמשים ולקבל גישה לחשבונותיהם - וכפי שמוצג מהסטטיסטיקה, במקרים רבים כשהתוקפים מצליחים לפרוץ נעשה שימוש גם בסיסמאות מורכבות.
אילו וכמה תווים יש לסיסמאות שפוצחו על ידי מתקפות brute force?
· 93% מהסיסמאות שפוצחו היו בעלות 8 תווים ומעלה
· 41% מהסיסמאות שפוצחו היו בעלות 12 תווים ומעלה
· 68% מהסיסמאות שפוצחו הכילו לפחות שני סוגים של תווים
כפי שהמספרים מראים, האקרים מודעים להתפתחויות באבטחת סיסמאות ומתאימים בקלות את הטקטיקות שלהם כדי להשיג הצלחה. האיום של התקפות מסוג זה יכול לבוא בצורות רבות - בואו נכיר אותן טוב יותר.
- סטארטאפ הסייבר Prime Security גייס 20 מיליון דולר
- רובריק זינקה - צמיחה של 48% והימור על בינה מלאכותית לאבטחת נתונים
- המלצת המערכת: כל הכותרות 24/7
מהי מתקפת Brute force?
במתקפה זו, הפורצים מנסים לגלות את הסיסמה באמצעות מעבר שיטתי על אפשרויות רבות של סיסמאות. הם עשויים, למשל, לבדוק את שילובי הסיסמאות הנפוצים ביותר או להשתמש במידע הנגיש באינטרנט, למשל, במדיה החברתית של הקורבן.
להמחשה פשוטה – זוכרים את המנעולים הפיזיים עם המספרים, אלו שמאפשרים לזכור מספר ולא להחזיק מפתח? אותם מנעולים שאפשר לשחק איתם עד שהם נפתחים? זה בדיוק אותו הדבר.
למתקפה הזו קיימות דרכי פעולה שונות:
מתקפות ריסוס סיסמאות
במהלך התקפות ריסוס סיסמאות, האקרים משתמשים ברשימה של הסיסמאות וביטויי הסיסמה השכיחים ביותר, ועל ידי שימוש בתוכנה ייעודית, הם בודקים את אותה הסיסמה בחשבונות רבים ושונים. מתקפה אחת עלולה להשיג להאקרים גישה לעשרות או אפילו מאות חשבונות שונים.
- אין לנו מתחרים- הדרך להתחרות זה אם הלקוחות יתחילו לפתח את המוצר בעצמם
- מה קורה בהייטק הישראלי - מפטרים או מגייסים? הנה התשובה
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- מה קורה בהייטק הישראלי - מפטרים או מגייסים? הנה התשובה
התקפת מילון (Dictionary)
האקרים מנסים שילובים ווריאציות שונות של מילים נפוצות במהלך התקפת מילון. ההתקפות לרוב אינן מבוצעות באופן ידני - האקרים משתמשים לרוב בתוכנה שעובדת עם רשימות סיסמאות נפוצות ומילונים נרחבים (כפי שמרמז שם המתקפה) ומכניסה את שילובי הסיסמאות הרבים האפשריים למערכת הנבחרת.
מילוי פרטי התחברות
אם תוקף מחזיק ברשימה של פרטי התחברות שדלפו, מאתר מסוים, הוא עשוי להשתמש בתוכנה מיוחדת כדי להזין שילובים של שם משתמש וסיסמה באתרים רבים. במקרה שהמשתמש המושפע משתמש באותם פרטי ההתחברות עבור מספר אתרים שונים - וזו, למרבה הצער, עדיין טעות נפוצה - הפושעים עשויים לקבל גישה למספר חשבונות עם שילוב אחד בלבד של פרטי ההתחברות.
מתקפות Brute force הפוכות
לפעמים, לפושעי רשת כבר יש את הסיסמה - כל מה שהם צריכים לעשות הוא למצוא את המשתמש הנכון. באמצעות רשימות הסיסמאות שהודלפו בפרצות נתונים קודמות, ההאקרים עשויים לחפש פלטפורמות ומסדי נתונים שונים, ולנסות את פרטי ההתחברות שנפגעו בחשבונות שונים.
מתקפות Brute force היברדיות
התקפות אלו משלבות את טכניקות ההתקפה שתוארו לעיל. בדרך כלל, האקרים בוחרים במתקפת מילון בשילוב עם מתקפת brute forceהקלאסית. בניסיון לפרוץ לחשבונות שונים - בדרך כלל כבר מכירים את שמות המשתמש - הם משתמשים במילים וביטויים נפוצים בשילוב עם קבוצה של אותיות או מספרים, שעשויים להיות אקראיים או מבוססים על מחקרים קודמים על הקורבנות.
איך להתגונן מפני התקפות Brute force?
עבור המשתמש הפרטי או עובדי הארגונים השונים, האמצעי העיקרי שהם צריכים לדבוק בו הוא הקפדה על היגיינת סיסמאות נאותה. זה עשוי להיות מורכב משימוש בסיסמה ייחודית עבור כל חשבון, בחירה בביטויי סיסמה ארוכים יותר המכילים תווים שונים, ושימוש במנהל סיסמאות אמין כדי לאחסן את פרטי ההתחברות שלהם. שימוש באימות רב-שלבי (MFA) הוא גם בגדר חובה. הודות ל-MFA, גם אם שם המשתמש והסיסמה נחשפו או דלפו, יהיה להאקרים יותר קשה לגשת לנתונים באופן מידי.
עבור עסקים: ניתן לשקול שימוש ב-CAPTCHA כדי למנוע מכלי התקפתbrute force שעלולות לאפשר גישה למערכות הארגון. כמו כן, מומלץ לשנות את ביטויי הסיסמה מעת לעת. לבסוף, חשוב להגדיר מדיניות סיסמאות מאובטחת ולשפר עוד יותר את בטיחות העובדים והארגון על ידי ניטור אקטיבי של הפעילות המתרחשת בפלטפורמות ובמערכות הארגון. הקפדה על נהלים בטוחים ושמירה על ערנות מונעת מצמצמת את הסיכונים.
- 2.חפשו שבבים בע"מ 14/04/2023 15:28הגב לתגובה זושדרכם יוכלו לקנוס ולהעניש ולנטר כל מי שלא מציית ועומד בשורה. התרחקו מטכנולוגית השבבים.
- 1.למה לא להעביר את הארגונים לשירות ללא סיסמא ? גוגל 13/04/2023 15:41הגב לתגובה זולמה לא להעביר את הארגונים לשירות ללא סיסמא ? גוגל שיחררה את Passkeys מייקרוסופט כבר מזמן בשירותים אפילו ללקוחות הפרטיים מאפשרים את זה וארגונים מתחילים לאמץ את זה .מערכת אימות רב שלבי במתקפות האחרונות גם התגלתה כחלשה אם התוקף יודע את שם המשמתמש והסיסמה הוא ממשיך להתקיף אותו עד שהמשתמש מתעייף ומאשר …
יואב שפרינגר וגלעד עזרא, מייסדים Apptor.ai צילום פרטיאין לנו מתחרים- הדרך להתחרות זה אם הלקוחות יתחילו לפתח את המוצר בעצמם
שיחה עם יואב שפרינגר- המנכ"ל ושותף מייסד של Apptor.ai
ספר בקצרה על עצמך:
אני במקור מבית חנן בצפון. בצבא שירתי ב-8200, שם גם פגשתי את השותף שלי, גלעד עזרא, ובזמן השירות, עבדנו על פיתוח מודלים של פרדיקציה לצבא כדי לזהות התנהגויות, אבל הרעיון זה להתעסק ב-predictable AI. אחרי הצבא הייתי בפלייטיקה בעולמות ה-AI retention. את הסטארטאפ הקמנו במהלך המלחמה, והתחלנו לרוץ איתו ממש תוך כדי המילואים.
ספר על החברה ומניין בא הרעיון?
אלו דברים דומים שעשינו בצבא. חיפשנו איפה אפשר למקסם את מה שעשינו בצבא ולהשליך על שוק, שהוא ממש בלו אושן עבורנו ואין חברה שעושה משהו דומה. תעשיית ה- direct sales, שהיא מאוד אמריקאית ואנחנו בנינו כמה מודלים של פרדיקציה שעוזרים לחברות direct sales לייצר תקשורת טובה יותר עם הלקוחות שלהן. המודלים מזהים טוב יותר מה הלקוח רוצה לקנות, מה המוצר שכדאי להציע לו ומתי יספיק לקנות, כאשר המטרה היא לטרגט בצורה טובה יותר את הלקוחות דרך המודלים שאנחנו מריצים. זה דומה לאי קומרס אבל יש הבדלים כי דרך המכירה בחברות direct sales היא שונה מעט, ואותן חברות רואות את עצמן כתעשייה נפרדת. למשל הרבהלייף היא לקוחה שלנו, ואם ספורה מבחינים שאני עובד איתם, הם יחשבו "מעולה, חברה דומה לנו." לעומת זאת, אם הרבהלייף היו רואים שאני עובד עם ספורה הם היו חושבים שזה אי קומרס. בשנה אחת הגענו ללקוחות וחברות כמו הרבהלייף, שופ דוט קום, It works! Global ו-Immunotec.
אופן המכירה ב-direct sales זה דרך מפיצים שהם המשווקים את המוצרים של החברה. עד שאנחנו הופענו, כל החברות הללו היו בונות על המפיצים לעשות את עבודת השיווק והמכירות והכל היה קורה דרכם בלי ערוצים נוספים. המפיצים מביאים לקוחות והם מדברים עם לקוחות וכדומה. מה שקורה בפועל זה שמאחר וכיום יש עוד הרבה אלטרנטיבות לעשות הכנסה מ-gig economy ובגלל התחרות הרבה בשוק, אז המודל לפיו הם בונים רק על המפיצים כבר לא עובד. מה שאנחנו מביאים לשולחן זה שאנחנו מייצרים מודלים של פרדיקציה שעושים את הכל באופן אוטומטי, את ה-retention, ההמלצות על מוצרים כאשר אנחנו יודעים לזהות מה כל לקוח יקנה ומתי והחברות כבר לא צריכות לבנות על המפיצים אלא אנחנו עושים את זה בשבילם, הכל כבר הופך לאוטומטי.
מתי הוקמה וכמה עובדים?
קמנו ביולי 2024, אנחנו 10 עובדים, הרוב בישראל ואחת ביוטה.
- חברת הסייבר Echo גייסה 50 מיליון דולר תוך 10 חודשים מאז הקמתה
- Dux נחשפת עם סבב סיד של 9 מיליון דולר
- המלצת המערכת: כל הכותרות 24/7
מי המשקיעים?
זוהר גילון, יובל בר-גיל, ניר גרינברג, רן שריג, אפי כהן ועוד
