Wat is een brute-force attack en hoe voorkom je het?

Wat is een brute-force attack?

Een brute-force attack is een digitale aanval waarbij de aanvaller systematisch wachtwoorden en encryptiesleutels uitprobeert totdat er één blijkt te werken. Op papier kan deze aanvalsmethode worden gebruikt voor alle soorten wachtwoorden en encryptiesleutels, plus voor enkele andere toepassingen zoals het vinden van verborgen webpagina’s.

Brute-force-aanvallen zijn gericht op laaghangend fruit. In het geval van wachtwoorden geldt dat langere wachtwoorden exponentieel moeilijker zijn om te kraken. Na analyse van 275.699.516 wachtwoorden die in 2020 zijn gelekt, concludeert NordPass dat de meestgebruikte wachtwoorden – je gelooft het niet – ‘123456’, ‘123456789’, ‘picture1’, ‘password’ en ‘12345678’ zijn. Met de huidige rekenkracht en tools zijn deze wachtwoorden (op ‘picture1’ na) allemaal binnen twee seconden te kraken.

Hoe herken je een brute-force attack?

Er zijn verschillende aanwijzingen dat er een brute-force-aanval gaande is:

• Een ongebruikelijk aantal mislukte inlogpogingen met een serie van alfabetisch of numeriek op- of aflopende gebruikersnamen of wachtwoorden.
• Een bovengemiddeld aantal mislukte inlogpogingen vanaf hetzelfde IP-adres.
• Inlogpogingen waarbij verschillende gebruikersnamen worden ingevoerd vanuit één IP-adres, al kan dit ook duiden op een grote organisatie met meerdere gebruikers.
• Meerdere inlogpogingen voor een bepaalde gebruikersnaam die in korte tijd vanaf verschillende IP-adressen komen.
• Wanneer na deze situaties succesvol wordt ingelogd en er sprake is van een abnormale bandbreedte, dan kan dit komen doordat een aanvaller (grote hoeveelheden) data van jou aan het downloaden is.

Als gebruiker is het lastig om er achter te komen dat je te maken hebt met een brute-force attack. Gelukkig sturen veel diensten tegenwoordig een waarschuwing bij ongebruikelijke inlogpogingen en activiteiten op je account.

Welke methodes 'brute-force attack' bestaan er?

De meest gebruikte methodes zijn:

Dictionary attack

Om een wachtwoord of beveiligingssleutel te kraken, worden duizenden tot miljoenen opties uitgeprobeerd aan de hand van een lijst met wachtwoorden. Vaak worden deze lijsten verkregen via veiligheidslekken. Dit is een effectieve methode, aangezien deze lijsten alle veelgebruikte wachtwoorden bevatten. Meestal wordt voor dictionary attacks software gebruikt die patronen genereert.

Reverse brute-force attack

Eén veelgebruikt wachtwoord, dat meestal afkomstig is uit een datalek, wordt uitgeprobeerd bij verschillende gebruikersnamen of versleutelde bestanden. Meestal wordt dit proces herhaald voor nog een stel populaire wachtwoorden.

Credential stuffing

Hierbij wordt een combinatie van een gebruikersnaam en wachtwoord die ergens werkt ook op talloze andere plekken uitgeprobeerd. Het idee hierachter is dat veel mensen dezelfde inloggegevens gebruiken voor meerdere applicaties of websites.

Voeren hackers deze aanvallen handmatig uit?

Nee, hiervoor gebruiken ze softwaretools. Deze programmaatjes creëren alle mogelijke wachtwoorden en proberen die op iedere gangbare manier uit. Die inlogpogingen worden razendsnel afgevuurd: een wachtwoord dat bestaat uit een simpel woordenboekwoord kan – eventuele vertraging door de internetsnelheid buiten beschouwing gelaten – doorgaans binnen één seconde worden gekraakt.

Deze softwaretools hebben ingebouwde opties om bijvoorbeeld alle mogelijke combinaties van tekens te proberen, dictionary-aanvallen uit te voeren, draadloze modems te kraken en woorden naar ‘leet’ te vertalen, zoals ‘w4ch7w00Rd’. Letters worden daarbij vervangen door gelijkende cijfers.

Hoe vaak komen brute-force aanvallen voor?

Zeer vaak. Cijfers zijn niet bekend, maar dit soort aanvallen vindt aan de lopende band plaats. Sinds we massaal zijn gaan thuiswerken, hebben cybercriminelen het aantal aanvallen op thuiswerkers verhoogd. Kaspersky signaleerde bijvoorbeeld dat het aantal brute-force attacks op Remote Desktop Protocols (zoals TeamViewer) met 400 procent steeg in maart en april 2020.

Lees ook: veilig thuiswerken in 8 stappen

Bekende voorbeelden van brute-force attacks zijn de massale aanval in 2016 op Alibaba’s e-commercesite TaoBao, waarbij de gegevens van 21 miljoen accounts zijn buitgemaakt. En bij de aanval op Dunkin’ Donuts in 2015 werd brute-force ingezet om geld te stelen via de website en mobiele app van het bedrijf.

Wat is de impact van brute-force attack op je bedrijf?

Een brute-force attack kan je bedrijf op verschillende manieren schaden. Zo kan er data worden gestolen en malware zoals ransomware of spyware worden geïnstalleerd. Ook kan je systeem worden gekaapt om in te zetten voor een botnet. Daarna kan het gebruikt worden voor het versturen van phishing- of spammail en het uitvoeren van DDoS-aanvallen of brute-force attacks.

Is je website prooi geworden van zo’n aanval? Dan kunnen er spammy advertenties worden geplaatst, kunnen bezoekers doorgestuurd worden naar advertentiesites of kan er spyware worden geïnstalleerd die gegevens over bezoekers doorsluist.

Hoe kun je voorkomen dat je wordt getroffen door brute force aanvallen?

Met deze zes tips minimaliseer je de kans om getroffen te worden door een brute-force attack:

1. Sterke wachtwoorden.

Zorg dat je gebruikers overal andere sterke wachtwoorden hebben. Niet alleen moeten de wachtwoorden lang zijn, ook moeten ze bestaan uit bijzondere tekens én mogen ze geen standaardwachtwoorden zoals ‘wachtwoord123’ bevatten. Tip: stimuleer je medewerkers om hiervoor een wachtwoordmanager te gebruiken.

2. Beperk het aantal inlogpogingen.

Stel je in dat een account na bijvoorbeeld drie mislukte pogingen enkele minuten wordt afgeschermd, dan is de kans groot dat hackers doorgaan naar makkelijkere doelen.

3. Sluit accounts af na een X-aantal mislukte inlogpogingen.

Zo voorkom je dat een hacker na een tijdelijke buitensluiting keer op keer kan terugkomen. Is het account van een medewerker afgesloten? Dan moet hij contact opnemen met de IT-afdeling om het weer te openen.

4. IP-adressen blokkeren.

Beheerders van websites kunnen instellen dat IP-adressen worden geblokkeerd na een bepaald aantal pogingen. Voor WordPress-websites is de plug-in Wordfence hiervoor een handige tool.

5. Maak het inloggen complexer.

Dat kan bijvoorbeeld via CAPTCHA of het versturen van een verificatiecode naar een mobiele telefoon (tweefactorauthenticatie).

6. Verwijder accounts met veel rechten.

Accounts met veel rechten die niet meer worden gebruikt, moeten meteen worden verwijderd.