Jak proste hasła i źli pracownicy zagrażają cyberbezpieczeństwu

Październik to Miesiąc Świadomości Cyberbezpieczeństwa, a tutaj, na SSL.com, staramy się edukować firmy, agencje rządowe i opinię publiczną, jak zachować większą czujność podczas stąpania po coraz szerszym terenie Internetu. W tym artykule omówimy alarmujący wzrost liczby cyberataków na duże organizacje. 

Ostatnie dwa lata były szczególnie niepokojące ze względu na wzrost liczby naruszeń cyberbezpieczeństwa, w szczególności oprogramowania ransomware. Pierwsze miesiące 2020 roku przyniosły stały wzrost ataków ransomware i doprowadził do gwałtownego wzrostu w pierwszej połowie 2021 r. Do czerwca 2021 r. zarejestrowano 78.4 miliona prób ataków ransomware! 

Podobnie jak w przypadku innych sytuacji brania zakładników, celem hakerów ransomware jest kradzież cennych danych firmy lub dostępu do jej systemów komputerowych i żądanie ogromnych sum pieniędzy, zanim zrezygnują z posiadania takich aktywów. Teraz możesz pomyśleć, że przy całym nowoczesnym oprogramowaniu zabezpieczającym gangi ransomware spędzają cały swój czas na opracowywaniu superwyrafinowanych narzędzi do atakowania swoich ofiar. Ale jak wyjaśnimy w następnych sekcjach, wielu z nich poddaje recyklingowi swoją broń hakerską i zaczyna od nietechnicznej i peryferyjnej drogi inwazji: błędu ludzkiego. Rozwój samego złośliwego oprogramowania wymaga umiejętności technicznych, ale jego wykonanie jest tak proste, jak kliknięcie przez pracownika łącza lub pliku w złośliwej wiadomości e-mail. Ważne jest, aby pamiętać, że ataki ransomware występują etapami i często w prostszych fazach pełne ataki nabierają rozpędu. 

 W rzeczywistości w badaniu przeprowadzonym przez IBM, usunięcie błędu ludzkiego z równania doprowadziłoby do zapobieżenia wystąpieniu 95% naruszeń danych. 

Problem z zachęcającymi hasłami i pobłażliwymi pracownikami

A Badania 2019 z PreciseSecurity.com zidentyfikował słabe hasła jako trzecią najczęstszą przyczynę ataków ransomware, za brakiem szkolenia pracowników w zakresie cyberbezpieczeństwa i phishingiem. Jak można zauważyć na podstawie tych trzech głównych przyczyn infekcji ransomware, wszystkie z nich rzeczywiście pochodzą z ludzkich błędów. 

W rzeczywistości ludzki mózg jest naprawdę potężnym organem, który jest w stanie zapamiętać wiele długich haseł do różnych kont, zwłaszcza jeśli są one regularnie używane. Ale w badanie przeprowadzone przez Google i Harris Poll, 53% miało to samo hasło do wielu kont, a 13% używało tego samego hasła do wszystkich swoich kont. Łącznie dane te sugerują, że 65% osób przetwarza swoje hasła, nawet jeśli mają wszystkie możliwości wymyślenia innych. 

Ankieta Google i Harris Poll sugeruje trend we współczesnej cyberkulturze, w którym ludzie chcą szybszego dostępu, a nawet głównego dostępu do swoich wielu kont i urządzeń. Zrozumiałe jest monotonia regularnego wpisywania długich haseł lub rozsądna trudność w generowaniu silnych haseł, jeśli mówimy o więcej niż tuzinie kont. Nie pomaga to jednak sprawie, gdy 23.2 miliona ofiar naruszenia danych na całym świecie było znaleziono używało 123456 jako hasła, podczas gdy kolejne 7.8 miliona używało 12345678. Co gorsza, kolejne 3.5 miliona w różnych krajach wybrało samo słowo „hasło” jako barierę przed cyberzłodziei.  

W następnej sekcji przyjrzyjmy się, jak złe hasła i źle zachowujący się pracownicy utorowali drogę największym atakom ransomware i cyberszpiegostwa w historii, które miały miejsce w ciągu ostatnich dwóch lat – w okresie, w którym ludzie powinni mieć większą wiedzę i możliwości obrony przed cyberprzestępcami. 

Atak Colonial Pipeline Ransomware

W maju 2021 r. gang DarkSide zajmujący się oprogramowaniem ransomware zaatakował Colonial Pipeline – główny system rurociągów benzynowych i diesla w kraju i spowodował zakłócenie 50% krajowego łańcucha dostaw paliwa. 

Cyberporywacze ukradli z firmy prawie 100 GB informacji i zagrozili ujawnieniem ich w Internecie, jeśli firma nie zapłaci okupu. W obawie przed kolejnymi atakami Colonial Pipeline postanowił zamknąć swoją działalność i zapłacił Darkside prawie 5 milionów dolarów. Ten atak ransomware wpłynął na dostawy paliwa na lotniskach i zmiany rozkładu lotów oraz wywołał panikę podczas zakupów.

Podczas przesłuchania w Senacie dyrektor generalny Joseph Blount ujawnił, że atak został zainicjowany przez logowanie pracownika do starszego systemu wirtualnej sieci prywatnej (VPN), który został skonfigurowany tylko z uwierzytelnianiem jednoskładnikowym. Oznacza to, że dodatkowe przepustki, takie jak kody bezpieczeństwa wysyłane na telefony komórkowe, nie były konieczne, aby uzyskać do niego dostęp. 

Mandiant, firma zajmująca się cyberbezpieczeństwem, z którą konsultowano się w celu przeanalizowania ataku, wysunęła teorię, że pracownik mógł użyć hasła na wcześniej zhakowanej stronie internetowej. 

NOWY kooperacyjny atak ransomware

Zaledwie w poprzednim miesiącu spółdzielnia rolnicza z siedzibą w stanie Iowa, NEW Cooperative, została zaatakowana przez rosyjski gang ransomware nazywający się BlackMatter – uważany za przemianowaną wersję gangu DarkSide. Cyberprzestępcy zażądali zapłaty 5.9 miliona dolarów w celu przywrócenia spółdzielni dostępu do ich systemów komputerowych, których używają do karmienia 11 milionów zwierząt, w tym bydła, kurczaków i świń.

Tammy Kahn, dyrektor operacyjny firmy FYEO zajmującej się bezpieczeństwem cyfrowej tożsamości, przeanalizowała, że ​​atak ransomware na NEW Cooperative był możliwy dzięki użyciu złych haseł przez wielu pracowników. 

Kiedy FYEO przeprowadził audyt strony internetowej NEW Cooperative w swojej bazie danych, okazało się, że organizacja miała 653 hasła, które zostały w przeszłości naruszone. Co gorsza, odkryto, że najczęstszym hasłem używanym wśród 120 pracowników było połączenie zbyt powszechnego zwierzęcia hodowlanego i liczby, która pojawia się jako pierwsza przy liczeniu: kurczak1. Takie uproszczone hasło na pewno się nie powiedzie. Zapomnij o kampaniach phishingowych i narzędziach do ataków typu brute force. Ponieważ adresy e-mail pracowników i kadry kierowniczej są publicznie udostępniane w Internecie, hakerzy często muszą tylko odgadnąć hasła, a coś w rodzaju „kurczak1” jest prawie martwym prezentem.

Cyberszpiegostwo SolarWinds

Firma produkująca oprogramowanie IT, SolarWinds, została zinfiltrowana przez podejrzanych rosyjskich hakerów w pierwszych miesiącach 2020 roku. Do aktualizacji ich systemu oprogramowania monitorującego o nazwie Orion wszczepiono trojana, z którego korzystało 33,000 XNUMX znanych klientów firmy, w tym tysiące rządów. agencje krajowe i zagraniczne, a także największe amerykańskie korporacje. Złośliwy kod umożliwił następnie hakerom zainstalowanie większej liczby złośliwego oprogramowania, które umożliwiło im szpiegowanie zaatakowanych ofiar.  

Badacz bezpieczeństwa Vinoth Kumar twierdził, ostrzegł SolarWinds w 2019 roku, że hasło firmy do serwera aktualizacji jest dostępne dla każdego. To hasło brzmiało najwyraźniej: wiatry słoneczne123

Podczas przesłuchania w kongresie SolarWinds argumentował, że słabe hasło było błędem popełnionym przez ich stażystę, który również udostępnił hasło na GitHub.

Reprezentantka Katie Porter była tak rozwścieczona tym objawieniem, że… zawołał: „Mam silniejsze hasło niż„ solarwinds123 ”, aby powstrzymać moje dzieci przed oglądaniem zbyt dużo YouTube na ich iPadzie”.

Co gorsza, dyrektor generalny SolarWinds, Sudhakar Ramakrishna, przyznał, że zhakowane hasło było używane od 2017 roku, ale dopiero po ostrzeżeniu firmy Kumar z 2019 roku firma podjęła działania w tej sprawie, co było już za późno. 

Atak SolarWinds jest jednym z największych cyberszpiegów w historii i uważa się, że spowodował średnio $ 12 mln strata finansowa na firmę, która została zinfiltrowana. 

 

 Jak pracownicy mogą wzmocnić cyberbezpieczeństwo swojej firmy dzięki dobrym praktykom dotyczącym haseł

Teraz, bardziej niż kiedykolwiek, firmy powinny inwestować w podstawowe praktyki bezpieczeństwa cybernetycznego. Różnica w pogodzeniu się z powtarzalnym, nie mówiąc już o bardzo uproszczonym haśle i poświęcenie czasu na wymyślenie silniejszych, może stanowić ochronę setek tysięcy aktywów finansowych firmy. W rzeczywistości, biały papier przez firmę Coalition zajmującą się ubezpieczeniami cybernetycznymi ujawniła, że ​​średnie żądanie okupu ze strony cyberprzestępców skoczyło z 230,000 2020 USD w pierwszym kwartale 338,669 r. do 47 6 USD w zaledwie drugim kwartale tego samego roku. To wzrost o XNUMX% w ciągu zaledwie XNUMX miesięcy!

Firmy i inne organizacje powinny również wziąć pod uwagę, że cyberprzestępcy prowadzą sojusznicze operacje z innymi gangami, więc gdy hasła zostaną złamane, istnieje duża szansa, że ​​zostaną one szybko udostępnione na podziemnych forach, zwiększając w ten sposób punkty ataku. W rzeczywistości, Badania naukowe Agari odkrył, że zhakowane hasła są szybko ucztowane po ich udostępnieniu na stronach i forach phishingowych. Po opublikowaniu danych uwierzytelniających fałszywych kont na tych portalach, 20% zostało zinfiltrowanych w ciągu zaledwie godziny, a 40% zostało złamanych w ciągu zaledwie sześciu godzin.

Poniżej znajduje się kilka praktycznych wskazówek, które mogą wdrożyć nawet pracownicy z zerowym wykształceniem informatycznym, aby wzmocnić cyberobronę swoich firm. 

Bądź kreatywny ze swoimi hasłami, używając podmian znaków i haseł

Jak widzieliście w przypadku NEW Cooperative i SolarWinds, wyrafinowane cyberataki mogą wystąpić nawet z małymi wgnieceniami w cyber ścianie. Jak więc wymyślić lepsze hasła niż chicken1 i solarwinds123?

Pierwszym z nich jest sprawdzenie wymagań dotyczących hasła do konta. Obecnie większość platform wymaga od użytkowników podania wielkiej litery, małej litery, cyfry i symbolu.

Zastępowanie znaków i frazy hasła to dobre połączone strategie tworzenia silnego hasła z przyziemnych słów. Powiedzmy, że masz jaszczurki domowe, więc możesz wybrać zdanie takie jak: Jaszczurki są łuskowate, ale je lubię. Następnie możesz zastąpić niektóre litery cyframi lub symbolami. Litera „i” może zmienić się w 1, litera „s” może zmienić się w 5, a litera „a” może zmienić się w @. Możesz także umieścić znak taki jak „”, po słowie łuskowaty. Więc twoje hasło dostępu staje się wtedy: L15@rd5@re5c@ly,ale1l1kethem. Na początku wpisanie tego będzie niezręczne, ale twój mózg szybko się do tego przystosuje, wykonując wiele powtórzeń.

Dobrą rzeczą w przypadku haseł i zastępowania znaków jest to, że traktują skłonność ludzkiego mózgu do zapamiętywania rzeczy osobistych lub znaczących nie jako przeszkodę, ale jako zaletę. Możesz łączyć słowa z rzeczy bliskich Ci, takich jak zwierzęta domowe, członkowie rodziny, ulubione miejsca, ale pamiętaj, aby połączyć je w frazy, a nie tylko samodzielne słowa, i wymyśl unikalne kody. Hasła są zdecydowanie łatwiejsze do zapamiętania w porównaniu z losową mieszanką znaków. A podmiany znaków za pomocą kodów można powtarzać w innych hasłach, ale tylko Ty wiesz, co oznacza kod.

Uwzględnij obce słowa w swoich hasłach

Jeśli uczęszczałeś na lekcje języka obcego lub wiesz, jak mówić w języku obcym, powinieneś rozważyć wykorzystanie swoich umiejętności językowych do wzmocnienia haseł. 

Komunikacja i transakcje internetowe odbywają się głównie w języku angielskim, więc jeśli potrafisz wymyślić hasło typu: „Mam-is baw kayman nan ba-at ya ubi”, hakerzy mieliby trudności z jego złamaniem. W języku angielskim to zdanie oznacza „Banany i słodkie ziemniaki są z pewnością pyszne”. Gdyby hasło zostało wygenerowane w języku angielskim, hakerzy mieliby większe szanse na jego złamanie, ponieważ brzmi jak zwykła fraza. Ale ponieważ jest napisany w lokalnym języku pochodzącym z górzystego terenu w północnej części północnej wyspy Filipin, hakerom trudno byłoby zgadnąć, nawet jeśli mają swoje oprogramowanie do hakowania brutalnej siły, które najprawdopodobniej jest ustawione w języku angielskim. Połącz tę strategię z podmianą znaków i hasłami, a dodatkowo zwiększysz bezpieczeństwo swojego konta.

Inną dobrą rzeczą w używaniu obcych słów jest to, że utrzymują mózg w zdrowiu, ponieważ staje się to ćwiczeniem poznawczym. Mamy więc niezłą motywację do nauki innego języka!

Umieść spacje w swoich hasłach

Haker etyczny, ED Skoudis, akcji jedna prosta rzecz, którą mogą zrobić nawet najmniej znający się na IT pracownicy, aby wzmocnić swoje hasła: 

„Jest naprawdę prosta rzecz, którą możesz zrobić, aby utrudnić atakowanie haseł… Po prostu wstawiając spację w swoim haśle, teraz nie wszystkie systemy to obsługują, ale niektóre to robią, ale mówię ci jako atakujący komputer, wstawienie spacja w haśle utrudnia mi złamanie lub odgadnięcie hasła. Mógłbyś to umieścić gdzieś pośrodku. Może umieść kilka spacji. Najbardziej podstępne miejsce, w którym możesz umieścić spację w swoim haśle, jest jednak na końcu i wiesz dlaczego? Bo jeśli atakującemu uda się złamać twoje hasło, wyświetli się ono na ekranie atakującego i nie zobaczy spacji, prawda? Wejdą więc i zablokują Twoje konto, zastanawiając się, dlaczego Twoje hasło nie działa, ponieważ nie wpisują spacji. I wolałbym, żeby moje konto zostało zablokowane, niż złoczyńca miał do niego dostęp.

Użyj menedżera haseł

Wracając do ankiety Google i Harris Poll, o której mowa na początku tego artykułu, smutnym było stwierdzenie, że tylko 24% respondentów używało menedżera haseł, a tylko 55% było w stanie poprawnie zdefiniować termin. Powinno to zatem skłonić firmy do wdrożenia systemów, z których mogliby korzystać ich pracownicy, i zdobycia większej wiedzy na temat korzyści płynących z menedżerów haseł. 

Dla tych, którzy chcą uniknąć konieczności zapamiętywania i wpisywania długich, losowych haseł do różnych kont, menedżery haseł są doskonałym rozwiązaniem, ponieważ ich możliwości synchronizacji i generowania haseł umożliwiają łatwy dostęp do różnych kont. 

Weź to od niegdyś niesławnego hakera, który został konsultantem ds. bezpieczeństwa, Kevinem Mitnickiem, który… mówią: „Menedżer haseł umożliwia zarządzanie resztą danych uwierzytelniających, więc wybierasz hasło główne, aby odblokować menedżera haseł, a menedżer haseł zajmuje się resztą. I faktycznie można było skonfigurować te menedżery haseł losowo tworzyć, na przykład, 15-znakowe hasła”.

Ostatnie słowo

Mamy nadzieję, że z tego artykułu nauczyłeś się czegoś praktycznego, a podczas tego miesiąca świadomości o cyberbezpieczeństwie zachęcamy do poznania znaczenia cyberbezpieczeństwa nie tylko w biznesie, ale także w życiu codziennym. Bądź bezpieczny i bądź czujny!

 

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.