Password Spraying: Tipps zu Vorgehensweise und Prävention

Datensicherheit

Abbildung eines Schlosses neben Passwordfeldern

Wenn es um das Hacken von Passwörtern geht, sind die meisten Unternehmen mit Brute-Force-Angriffen vertraut, bei denen Cyberkriminelle mit Hilfe von Computeralgorithmen Passwörter in Sekundenschnelle zehntausende Versuche zu unternehmen, ein Passwort zu erraten, bis sie das richtige finden. Password Spraying hat sich jedoch als Alternative zu Brute-Force-Angriffen etabliert und umgeht die Einstellungen für die Sperrung von Anmeldeversuchen, die viele Systeme und Geräte jetzt verwenden.

Beim Password Spraying nehmen Hacker gängige, nicht-komplexe Kennwörter und „sprühen“ sie auf das gesamte Unternehmen in der Hoffnung, dass irgendein Benutzer vielleicht „abc123“, „Passwort“ oder ein anderes der am häufigsten verwendeten Passwörter benutzt, die öffentlich verfügbar sind. In diesem Artikel erläutern wir die Grundlagen des Password Spraying, wie ein Spraying-Angriff funktioniert und was Sie tun können, um sich davor zu schützen.

Was ist Password Spraying?

Password Spraying unterscheidet sich dadurch von Brute-Force-Angriffen, dass es in die Breite geht und nicht auf bestimmte Benutzer, Geräte oder Konten abzielt. Der Angreifer beginnt in der Regel mit einem gängigen Passwort und hofft, dass wenigstens ein Benutzer im Unternehmen es verwendet. Bleibt dieser erste Versuch erfolglos, geht der Angreifer zu einem anderen Passwort über und unternimmt einen weiteren Spraying-Versuch.

Da die Hacker mit dieser Methode nicht mehrmals in kurzer Zeit versuchen, sich in Konten anzumelden, werden sie nicht wegen einer übermäßigen Anzahl von Anmeldeversuchen gesperrt. Aus diesem Grund gilt Password Spraying auch als langsame und unauffällige Methode, um Passwörter zu hacken. Cyberkriminelle zielen oft auf einfache Ziele in Form von häufig verwendeten Passwörtern ab, die sie langsam und kontinuierlich über einen längeren Zeitraum hinweg sprayen, bis sie Zugang erhalten.

Sobald der Angreifer Zugriff auf einen Computer oder ein Konto hat, besteht das Ziel darin, diese für den Zugriff auf andere Bereiche des Systems zu nutzen. So könnte ein Angreifer beispielsweise in das Cloud-Laufwerk eines Benutzers eindringen und nach Passwörtern für andere Konten oder nach Administratorberechtigungen suchen. Password Sprayer verschaffen sich zwar keinen Zugang zu ihrem eigentlichen Ziel, aber sie fassen effektiv Fuß im System, um dort noch mehr bösartige Aktivitäten durchzuführen.

Da mehr als die Hälfte aller Amerikaner ihr Passwort nur dann ändern, wenn sie es vergessen haben, wird Password Spraying zunehmend zu einer beliebten Methode. Hierbei werden Benutzer ins Visier genommen, die ein gängiges Passwort gewählt haben und es nie für dringend oder notwendig erachten, es zu ändern.

Password Spraying im Vergleich zu anderen Passwort-Angriffen

Heutzutage setzen Cyberkriminelle eine Vielzahl von passwortbasierten Angriffen ein, um sich unbefugten Zugang zu Geräten, Systemen und Netzwerken zu verschaffen. Im Folgenden wird erläutert, wodurch sich Password Spraying von den anderen gängigen Arten von Passwortangriffen unterscheidet.

Brute-Force-Angriffe

Bei Brute-Force-Angriffen werden Programme eingesetzt, die ständig Tausende von Passwortkombinationen ausprobieren, um sich bei einem einzigen Konto oder Rechner anzumelden. Im Gegensatz dazu wird beim Password Spraying nur versucht, sich mit jeweils einem Passwort Zugang zu verschaffen. Brute-Force-Angriffe können sogar mit komplexen Passwörtern funktionieren – sofern genügend Versuche unternommen werden –, während Spraying auf einfache Passwörter abzielt. Die Anatomie eines Brute-Force-Angriffs ist in der Regel komplexer als die eines Spraying-Angriffs.

Keylogger-Angriffe

Bei solchen Angriffen erhalten bösartige Akteure Zugriff auf das Passwort eines Benutzers, indem sie die physischen Tastatureingaben auf seinem Computer überwachen. Dies geschieht in der Regel durch Malware, die unbemerkt vom Benutzer auf dem Rechner installiert wird, kann aber auch mit physischen Geräten zur Hardware-Überwachung erfolgen. Während beim Password Spraying einfach nur geraten wird, ermitteln Keylogging-Angriffe das genaue Passwort, sobald der Benutzer dieses eingibt.

Credential Stuffing

Bei einem Credential-Stuffing-Angriff verschaffen sich Hacker Zugang zu einer Liste von kompromittierten Konten oder Zugangsdaten aus früheren Hacker-Angriffen. Solche Zugangsdaten können normalerweise im Dark Web oder in Hackerkreisen gefunden oder gekauft werden. Die Angreifer versuchen nun, mit Brute Force die Passwörter von Konten zu erraten, von denen man bereits weiß, dass sie kompromittiert wurden. Darin unterscheidet sich dieser Angriff vom Spraying, bei dem alle Konten angegriffen werden, unabhängig davon, ob sie zuvor kompromittiert wurden.

Phishing-Angriff

Hacker können auch versuchen, das Passwort eines Benutzers durch direkte Interaktion mit der Person zu erlangen. Der Angreifer kann sich als legitime Drittpartei oder als Dienstleister ausgeben und den Benutzer auf einen falschen Link bzw. eine falsche Website leiten. Diese sieht ganz genau so aus wie die Website seiner Bank, sein Krankenkassen-Konto oder andere Dienste, und er wird dort aufgefordert, seine Anmeldedaten einzugeben. Password Spraying umfasst keine derart offensichtlichen Versuche und findet eher hinter den Kulissen statt, ohne dass das Unternehmen oder der Benutzer etwas bemerkt.

Abfangen des Traffics

Eine andere Möglichkeit für Hacker, Passwörter herauszufinden, ist die Überwachung der Daten und des Traffics über WLAN-Netzwerke. Hierbei wird auf Kanäle wie Messaging-Apps oder E-Mail abgezielt, und böswillige Akteure versuchen, Nachrichten zu finden, die Passwörter enthalten. Ungesicherte WLAN-Verbindungen, die keine HTTP-Verschlüsselung verwenden, sind besonders anfällig. Das Abfangen des Traffics erfordert viel technischen Aufwand. Daher ist das Spraying in der Regel für böswillige Akteure die attraktivere Option.

Wie Password-Spraying-Angriffe funktionieren 

Password-Spraying-Angriffe laufen in meistens nach den folgenden drei aufeinanderfolgenden Schritten ab:

1. Liste der Benutzernamen beschaffen

Eine Liste von Benutzerkonten für ein Unternehmen zu erhalten ist oft einfacher, als es sich eigentlich anhört. Die meisten Unternehmen haben eine standardisierte, formale Konvention für E-Mail-Adressen, die auch als Benutzernamen für Konten dienen, z. B. vorname.nachname@unternehmen.com. Mithilfe von Software lässt sich anschließend die Richtigkeit von Benutzernamen überprüfen, von denen die Angreifer glauben, dass sie existieren. Alternativ können Benutzernamenlisten auch online über das Dark Web erworben werden. Manchmal stehen die Benutzernamen und die entsprechenden E-Mail-Adressen sogar einfach auf der Website des Unternehmens oder in den Online-Profilen der Benutzer.

2. Mit dem Password Spraying anfangen

Auch eine Liste häufig verwendeter Passwörter lässt sich sehr einfach finden. Die Top-Passwörter für jedes Jahr lassen sich mit einer einfachen Google- oder Bing-Suche finden und werden sogar auf Wikipedia veröffentlicht. Diese bilden zwar eine gute Grundlage für das Spraying, aber Hacker berücksichtigen ggf. auch regionale Unterschiede. Für ein Unternehmen mit Sitz in Dallas könnten Hacker beispielsweise ein beliebtes Sportteam wie die „Cowboys“ nehmen, da viele Benutzer ihre Passwörter so auswählen, dass sie einfach zu merken sind. Nachdem sie das erste Passwort benutzt haben, warten die Angreifer mindestens 30 Minuten, bis sie das nächste Passwort ausprobieren, um eine Zeitüberschreitung zu vermeiden.

3. Sich Zugriff auf Konten und Systeme verschaffen

In vielen Fällen funktioniert eines der häufigen Passwörter tatsächlich für ein einzelnes Konto im Unternehmen. Wenn nur ein Benutzer die Tipps und Best Practices für Passwörter nicht befolgt, ist der Spraying-Angriff erfolgreich. Sobald Zugriff erlangt wurde, kann der Angreifer auf eine Vielzahl von Konten und Diensten für diese Person zugreifen. Er nutzt diesen Zugriff dann aus, um die Systeme intern auszuspähen, tiefere Netzwerke ins Visier zu nehmen oder sich Zugang zu anderen Konten mit erweiterten Berechtigungen zu verschaffen. Da ein Spraying-Angriff sehr breiten Zugriff gewähren kann, ist die effektive und komplexe Generierung von Passwörtern für Unternehmen umso wichtiger.

Drei Erkennungssignale für Password Spraying

Eine der besten Maßnahmen, um Password-Spraying-Angriffe zu verhindern, ist eine ordnungsgemäße Erkennung. Im Folgenden finden Sie drei Anzeichen, die darauf hindeuten, dass Ihre Systeme und Ihr Unternehmen möglicherweise von einem Password-Spraying-Angriff betroffen sind.

1. Sprunghafter Anstieg der fehlgeschlagenen Anmeldungen

Da beim Password Spraying so viele Konten innerhalb eines Unternehmens auf einmal angegriffen werden, ist eine hohe Anzahl an fehlgeschlagenen Anmeldeversuchen innerhalb einer kurzen Zeitspanne ein deutlicher Hinweis auf Password Spraying.

2. Hohe Anzahl gesperrter Konten 

Beim Password Spraying werden Timeouts vermieden, indem vor dem nächsten Anmeldeversuch einige Zeit gewartet wird. Wenn Sie jedoch eine ungewöhnlich hohe Anzahl gesperrter Konten feststellen, könnte dies ein Hinweis darauf sein, dass die Angreifer einmal gesprayt haben, gesperrt wurden und nun darauf warten, es bald wieder zu versuchen.

3. Ungültige Anmeldeversuche bzw. Versuche von unbekannten Konten

Die Angreifer verfügen bei einem Password-Spraying-Angriff höchstwahrscheinlich nicht über eine vollständig korrekte Liste von Benutzernamen und Anmeldedaten. Entweder raten sie, oder sie haben online eine veraltete Liste gekauft. Wenn erkennbar ist, dass ehemalige Mitarbeiter oder ungültige Benutzernamen versuchen, sich anzumelden, könnte es sich um Password Spraying handeln.

Drei Schritte zur Behebung eines Password-Spraying-Angriffs

Wenn es Ihnen gelungen ist, einen Password-Spraying-Angriff zu erkennen, befolgen Sie diese Schritte, um gefährdete Konten zu schützen und Ihre Abwehr gegen zukünftige Password-Spraying-Versuche zu stärken.

1. Ändern Sie Ihre Unternehmenspasswörter

Als Erstes sollten Sie alle Mitarbeiter des Unternehmens darauf hinweisen, dass sie ihre Passwörter ändern und aktualisieren sollten. Informieren Sie sie darüber, dass sie keine gängigen Passwörter oder einfachen Phrasen und Kombinationen verwenden sollten. Bieten Sie ihnen Richtlinien darüber, wie sie ein ausreichend komplexes Passwort erstellen können, oder stellen Sie ihnen ein Tool zur Passworterstellung zur Verfügung.

2. Implementieren und prüfen Sie Ihren Ereignisreaktionsplan

Jedes Unternehmen sollte einen Plan für die Reaktion auf Cybersicherheitsvorfälle haben. Wenn Sie einen Password-Spraying-Angriff vermuten, sollten Sie sofort mit der Durchführung der darin beschriebenen Schritte beginnen. Sobald Sie das Gefühl haben, dass Ihre Benutzerkonten sicher sind, sollten Sie den Plan überprüfen, um sicherzustellen, dass darin Gegenmaßnahmen speziell für Password-Spraying-Angriffe eingeplant sind.

3. Konfigurieren Sie Ihre Passwortsicherheitseinstellungen

Wenn Ihr Unternehmen eine Sicherheitsprotokollierungsplattform nutzt, stellen Sie sicher, dass sie so konfiguriert ist, dass fehlgeschlagene Anmeldeversuche über alle Systeme hinweg identifiziert oder erkannt werden. So können die Anzeichen von künftigen und aktuellen Password-Spraying-Angriffen erkennen. Außerdem erhöhen Sie so Ihre Ermittlungskapazität, indem Sie Einblick in alle fehlgeschlagenen Anmeldeversuche erhalten.

So verhindern Sie Angriffe von Password-Spraying-Kampagnen

Nun wissen Sie genau, was Passwort-Spraying-Angriffe sind und welche Maßnahmen zu ergreifen sind, wenn Sie einen solchen Angriff entdecken. Anschließend sollten Sie angemessene Infrastruktur einrichten, um zu verhindern, dass zukünftige Spraying-Versuche erfolgreich sind.

Den Active-Directory-Passwortschutz aktivieren

Viele Systeme, beispielsweise Microsoft Azure, ermöglichen es den Administratoren, häufige oder leicht zu erratende Passwörter komplett zu unterbinden. Falls Sie diese Option haben, sollten Sie sie aktivieren. Indem Sie Passwörter, die besonders anfällig für Spraying-Angriffe sind, von vornherein verbieten, schrecken Sie Hacker schon im Vorfeld ab. Sie können auch benutzerdefinierte Listen mit häufig verwendeten Passwörtern einfügen, die für Ihre Branche, Ihr Unternehmen oder Ihre Region relevant sein könnten. Wenn Ihr Unternehmen zum Beispiel in der Softwarebranche tätig ist, sollten Sie ein Passwort wie „SteveJobs123“ verbieten.

Simulierte Angriffe oder Pen-Tests durchführen

Sie können entweder selbstständig oder mithilfe Ihres Cybersicherheitspartners einen simulierten Password-Spraying-Angriff durchführen. Dadurch lässt sich ermitteln, wie anfällig die Passwortmaßnahmen Ihres Unternehmens sind. Mit einer Angriffssimulationssoftware können Sie beispielsweise eine Liste gängiger Passwörter auswählen und einen Bericht darüber erstellen, wie viele Benutzer in Ihrem Unternehmen solche Passwörter verwenden. Die Simulation von Spraying-Angriffen ermöglicht es Ihnen auch, verschiedene regionale oder branchenspezifische Passwörter zu testen und zu entscheiden, welche in Ihre individuelle Verbotsliste aufgenommen werden sollen.

Implementierung eines passwortlosen Benutzerzugangs

Eine der sichersten Vorbeugungsmaßnahmen gegen Password Spraying ist die vollständige Abschaffung von Passwörtern in Ihrem Unternehmen. Hierbei werden Technologien wie biometrische oder sprachgesteuerte Benutzerzugänge implementiert. Für Hacker ist es (jedenfalls zurzeit) sehr schwer, die Anmeldeinformationen zu stehlen, zu duplizieren oder sich damit anzumelden. Aktivieren Sie auf jeden Fall die Multi-Faktor-Authentifizierung (MFA), damit ein Passwort allein nicht ausreicht, um Zugriff auf das System oder ein Gerät zu erhalten. Letztendlich könnte eine vollständig passwortlose Infrastruktur der ultimative Schutz gegen Password Spraying sein.

Nutzen Sie Varonis-Lösungen zu Ihrem Vorteil

Password Spraying ist eines der vielen Datensicherheitsrisiken, die heutzutage von Hackern ausgehen. Ein Angreifer kann, wenn er einmal eingedrungen ist, dauerhaften Zugriff erlangen, vertrauliche Daten ausfiltern und Ransomware einsetzen. Lösungen zur Bedrohungserkennung und -reaktion, beispielsweise Varonis DatAlert, können Unternehmen dabei helfen, ihre unternehmenskritischen Daten vor Cyberangriffen zu schützen, bevor es zu Schäden kommt.

Varonis setzt verhaltensbasierte Bedrohungsmodelle ein, um frühe Kompromittierungsanzeichen zu erkennen, z. B. Password Spraying aus einer einzelnen Quelle oder eine ungewöhnlich hohe Anzahl von Kontosperrungen. Wir überwachen die Datenaktivität, um potenzielle Bedrohungen wie anormale Zugriffe auf sensible Daten zu erkennen. Bei Alarmen können auch automatische Reaktionen ausgelöst werden, wie z. B. das Beenden der Sitzungen betroffener Benutzer oder das Ändern von Passwörtern, um einen Angriff schon im Keim zu ersticken. Laut einer Studie von Forrester Research kann Varonis mit einem menschenlesbaren Audit-Trail auch dazu beitragen, die Gesamtuntersuchungszeit bei Password-Spraying-Angriffen um bis zu 90 % zu reduzieren.

Über die Erkennung hinaus ermöglicht Varonis auch die Visualisierung Ihres Risikos und die drastische Reduzierung Ihrer Angriffsfläche, indem ein übermäßiger Zugriff auf sensible Daten automatisch unterbunden wird.

Möchten Sie mehr erfahren? Vereinbaren Sie einen Termin für ein Gespräch mit unserem Team.

FAQ zu Password Spraying

Auf welche Systeme zielt das Password Spraying ab?

Password-Spraying-Kampagnen zielen in der Regel auf cloudbasierte SSO-Anwendungen (Single sign on) ab, die Verbundauthentifizierungsprotokolle verwenden. Der gezielte Angriff auf solche Protokolle und Plattformen macht es Hackern leichter, bösartigen Datenverkehr zu verschleiern. Darüber hinaus maximiert ein Angriff auf SSO-Anwendungen den Zugang zu wichtigen Informationen und geistigem Eigentum, falls der Angriff erfolgreich ist.

Was ist ein IMAP-basierter Password-Spraying-Angriff?

Ein Angriff, der auf ein Internet Message Access Protocol (IMAP) abzielt, ist darauf ausgelegt, Hindernisse durch Multi-Faktor-Authentifizierung zu vermeiden. Da IMAP eine veraltete Internet-Technologie ist, ist es umso wahrscheinlicher, dass Password-Spraying-Angreifer IMAP ins Visier nehmen. Für viele Systeme, die ausschließlich auf IMAP aufbauen, lassen sich keine Kontosperrungen nach mehreren fehlgeschlagenen Versuchen aktivieren, was die Kompromittierung cloudbasierter Konten einfacher macht.

Wie kann ich Password-Spraying-Angriffe erkennen?

Eine ungewöhnlich hohe Anzahl von gleichzeitigen Anmeldeversuchen oder Konten, die gesperrt werden, ist das offensichtlichste Anzeichen für einen Password-Spraying-Angriff. Eine erhöhte Häufigkeit von Anmeldeversuchen – schneller als ein Mensch sich manuell anmelden kann – ist ebenfalls eine einfache Möglichkeit zur Erkennung eines Password-Spraying-Angriffs. Stellen Sie sicher, dass Ihre Systeme so konfiguriert sind, dass solche verdächtigen Aktivitäten automatisch erkannt werden können.

Ist es möglich, einen Passwort-Spraying-Angriff zu verhindern?

Ja. Da Password Spraying auf häufig verwendete Passwörter abzielt, sind die Festlegung unternehmensweiter Passwortrichtlinien und das Verbot häufig verwendeter Passwörter äußerst wirksame Präventionsmaßnahmen. Sie können auch die ausschließliche Verwendung biometrischer Zugangsauthentifizierung in Erwägung ziehen, um Ihr Unternehmen vollständig passwortfrei zu machen. Dadurch wird Password Spraying quasi unmöglich.

Abschließende Überlegungen

Die Verwendung von häufigen Phrasen oder Kombinationen ist im Grunde so, als würden Sie Ihre Passwörter einfach für Spraying-Angriffe an Hacker weitergeben. Daher ist es enorm wichtig, dass Sie über die richtigen Passwortrichtlinien verfügen – sowie über Technologien zur Bedrohungserkennung und -reaktion – so können Sie verhindern, dass Angreifer einfache Ziele ins Visier nehmen. Wenn Sie sich gerade erst mit den Gefahren und der Verbreitung von Password Spraying vertraut machen, macht es Sinn, sich mit einem erfahrenen Cybersicherheitspartner wie Varonis in Verbindung zu setzen – um Passwörter wie „abc123“ endgültig aus Ihrem Unternehmen zu entfernen.

Avatar

David Harrington

David ist professioneller Autor und ein führender Berater für Technologieunternehmen, Startups und Venture-Capital-Firmen.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990