Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

По базе данных. Этот вид атаки еще называется credential stuffing: киберпреступник перебирает регистрационные данные пользователей из ранее украденной или купленной базы данных. Поскольку взламываемый сервис может блокировать попытки многократного доступа с одного IP-адреса, как правило, запускается автоматизированный процесс перебора, в том числе и с применением бот-сетей. Тогда сервис считает обращения к серверу попытками авторизации реальных пользователей[26].

По словарю. Программа для взлома подключает специальные внешние файлы – словари, списки слов, которые могли применяться владельцами в виде паролей, например имена, фамилии, 10 000 самых популярных паролей, клички животных и т. д. (используются отдельные файлы для латиницы и других языков, включая кириллицу).

По маске. Атака по маске производится, когда известна часть пароля. Скажем, если злоумышленнику известно, что пароль начинается с буквы «а», то он может ее указать вместо первого символа вопроса в маске, и поиск будет произведен быстрее.

Брутфорс. Этот вид атаки, называемый также методом «грубой силы», подразумевает перебор всех допустимых комбинаций символов, вплоть до нахождения той, которая подходит в качестве пароля. Это самый надежный метод перебора пароля, при котором вычисление правильного пароля лишь вопрос времени. Но в случае особенно длинных несловарных паролей оно может занять миллионы лет.

Персональный взлом[27]. В этом случае атака (которая может сочетать разные способы подбора паролей) направлена на конкретного пользователя: взлом аккаунтов в социальных сетях, электронной почты, мессенджеров и т. п. Через интернет или иными путями злоумышленник старается узнать логин, личные данные и другую информацию, которая понадобится ему для подбора пароля. Злоумышленник вписывает в программу взлома адрес ресурса, к которому нужен доступ, и логин; подключает словарь и подбирает пароль. Составляя словарь, нарушитель пытается понять, какой логикой вы руководствовались при составлении пароля (использовали логин + 2 символа; логин, написанный задом наперед; самые распространенные пароли и т. п.), и применяет ее при подборе пароля. Также учитываются такие особенности, как название сайта (может использоваться в составе пароля), открытые данные пользователя (например, часто в виде паролей применяются даты рождения) и шаблонность комбинаций. Если злоумышленник охотится за определенным устройством, ему известна вся открытая информация о владельце (или даже закрытая, если нарушителем является родственник либо злоумышленник владеет приемами социальной инженерии). Еще играет роль психология людей, точнее, их склонность к шаблонному мышлению. Чтобы понять, что это такое, пройдите следующий тест: посмотрите на категории ниже и, не задумываясь, быстро назовите по одному слову из каждой категории:

 фрукт;

 часть лица;

 русский поэт;

 цветок;

 страна.

В большинстве случаев ответы – это «яблоко», «нос», «Пушкин», «роза» и «Россия». Это и есть пример шаблонности мышления, предсказуемости, которую злоумышленники учитывают при взломе паролей[28].

Брут/чек. Цель такой атаки – перехват большого числа паролей, т. е. паролей многих пользователей. К программе взлома подключается база логинов и паролей каких-либо почтовых сервисов. Также подключается список прокси-серверов, чтобы замаскировать узел. Это не дает инструментам защиты взламываемых сайтов обнаружить атаку. При регистрации на сайте, в социальной сети или в игре пользователь заполняет поле с адресом своей почты, на который приходят данные для входа в соответствующий аккаунт. В опциях брутфорса указывается список названий сайтов или других ключевых слов, по которым он будет искать в почтовых ящиках именно эти письма с логинами и паролями, извлекать из них информацию и копировать ее в отдельный файл. Так хакер получает сотни паролей и может использовать их в любых целях. Когда система защищена от перебора паролей ограничением числа попыток (например, блокирует IP-адрес, откуда исходят запросы, если превышено число попыток), программа автоматически берет адрес следующего прокси-сервера из списка, меняя IP-адрес, и продолжает атаку.