Spring til indhold
Sikkerhed

3.000.000.000 er faktisk et stort tal. Synes du ikke?

Nicolai
30. marts 2022 · Læsetid 7 min.

Vi har i de senere år, set en enorm stigning i sikkerhedsforanstaltninger og investeringstiltag i kampen mod cyberkriminalitet. Det betyder desværre også, at kriminelle på internettet bliver mere opfindsomme - I forsøget på at komme i besiddelse af legitimationsoplysninger på adgangsberettigede personer på et website. Derfor opstår der med jævnlig mellemrum nye former for login-angreb. Alle angreb har dog samme dagsorden - WE HAVE TO GET IN. 

De hyppigst brugte-, og mest kendte former for login-angreb på websites er:

  • Brute Force Attack 
  • Simple Brute Force Attack 
  • Hybrid Brute Force Attack 
  • Omvendt Brute Force Attack 
  • Credential Stuffing

Brute Force Attack

Et Brute Force-angreb er er en to-trins-metode, som består af at prøve og fejle - indtil det lykkedes dem at få adgang, blive afvist og blacklistet, eller opgiver. Selve metoden går ud på, at foretage en lang række angreb, der i sidste ende knækker adgangskoden eller krypteringsnøgler. Ofte udføres angrebet af en bestemt form for scripts eller bots, og anvendes i de fleste tilfælde, for at få fat i et websites login-oplysninger. Andre mål kunne være API-nøgler og SSH-indoors. 

I modsætning til andre former login-angreb, så bruger Brute Force ikke en intelligent strategi, da angrebets ondsindede robotter, udelukkende forsøger sig ad med forskellige kombinationer af tegn. 

Simple Brute Force Angreb

Det er ikke uden årsag, at denne Brute Force-type er blevet døbt, “Simple”. Angreb af denne type er nemlig den ældste og også mest “enkle” form for tilegnelse af passwords. 

Hackere forsøger at komme i besiddelse af dine legitimationsoplysninger på egen hånd, uden nogen former for algoritmer eller anden softwareværktøj. I dag bruges denne form for Brute Force-angreb i mindre grad. 

Som teknologien skrider frem, og udviklingen inden for AI (Artificial Intelligence) og kunstig intelligens virkelig tager fart, som det har gjort de sidste 3-5 år - så er mulighederne inden for hacking af f.eks. websteder i højere grad blevet præget af nyere, og mere effektive angrebsmetoder. 

Et eksempel på et password der kan hackes med denne type angreb kan  f.eks. være, Admin, Admin12345, 1password eller virksomhedens navn. 

Hybrid Brute Force Attack

Som navnet indikerer, så anvender hackere flere værktøjer for at finde frem til passwordet - det kan f.eks. være en ordbogsliste (Dictionary Attack), og/eller en liste over logiske, samt hyppigt brugte brugernavne på andre websites. Ofte gør hackere brug af denne metode, for at finde frem til adgangskoder, hvor almindelige, gængse ord kombineres med tilfældige tal. 

Er adgangskoden blot et simpelt ord, eller læner sig op af brugernavnet - ja, så vil det ikke tage meget mere end et par sekunder at knække passwordet.

Reverse Brute Force Attack

Når hackere forsøger sig med Reverse Brute Force Attacks, så er det som der står skrevet - omvendt Brute Force-angreb. Et omvendt Brute Force Attack er nemlig et angreb, hvor angriberen har en kendt adgangskodeværdi, uden at vide hvad brugernavnet er. Derefter vil angriberen forsøge sig med den kendte værdi på forskellige brugernavne, filer eller anden potentiel indgangsvinkel. Reverse Brute Force Attacks bruges til at skabe adgang på websites, lukke websteder, frarøve data, samt administrere fremtidige bedrifter. 

Credential Stuffing

Selvom flere og flere mennesker anvender længere adgangskoder, med en sværere kombination af tal og tegn, så viser undersøgelser, at helt op til 53% bruger samme adgangskode til flere tjenester og konti. Hvilket er meget uhensigtsmæssigt, da det giver hackere bedre arbejdsvilkår, i forsøget på at få adgang til dine legitimationsoplysninger. 

Når Credential Stuffing nævnes, er det i forbindelse med tidligere databrud. Credential Stuffing er nemlig et angreb, som udføres på en tjeneste, med legitimationsoplysninger fra data fra et tidligere succesfuldt angreb. Her forsøges der at logge ind på den nye tjeneste, med dataen fra angrebet på den anden tjeneste. 

Denne type af login-angreb har statistisk set en betragtelig lav succesrate. Konvertering af succesfulde login-forsøg ligger i gennemsnit på 0,1%, hvilket betyder, at for hvert tusind konto, som bliver forsøgt knækket - så vil det lykkes én gang. Trods den lave succesrate, så er det stadig en meget anvendt metode, da mange af angrebene udføres af bots, som ofte besidder mange millioner login-data. 

En af de største databrud vi nogensinde har været vidne til, skete tilbage i 2014, hvor hackere stjal 3.000.000.000 brugeres persondata fra Yahoo. Efterfølgende kom det frem, at mere end 200 millioner kunders konti var sat til salg på det sorte marked. Konti som indeholder personfølsomme oplysninger, fødselsdatoer, betalingskortoplysninger m.m. 

Angrebet endte med at koste Yahoo dyrt. Et angreb der siden, virkelig har fået sikkerheden i fokus. Men hvordan forhindrer men sådanne angreb? Man skulle tro, at en international virksomhed med Yahoos status - har styr håndteringen af sikkerhed og kundedata. 

WordPress er verdens mest populære CMS. Også blandt hackere

WordPress er det CMS af alle, der blive forsøgt hacket flest gange hvert år. Og desværre er det en tendens, som fortsat udvikler sig i den forkerte retning. Statistikker viser, at 83% af alle websteder, der bliver udsat for hackerangreb, er bygget på WordPress. Med WordPress’ fleksibilitet følger rigtig mange muligheder, men desværre også mange sårbarheder, som du skal være opmærksom på. WordPress er Open-Source, og du er derfor i mange tilfælde, overladt til dig selv - også når det kommer til at vide, hvordan du på bedst mulig vis, holder hackere og ondsindede robotter på afstand af dit WP-site. 

Når WordPress danner grundlaget for 35% af alle websites på internettet i 2020, og statistikker fortæller os, at 83% af alle hackede websites er bygget på WordPress - ja, så giver det stof til eftertanke. Skal du f.eks. være bekymret for Brute Force Attacks? 

Analyser viser, at 8% af alle cyberangreb mod WordPress-sites skyldes dårlige adgangskoder, eller manglende sikkerhedsforanstaltninger, som minimere risikoen for login-angreb, herunder Brute Force Attacks. 

Vidste du, at WordPress aktivt giver hackere mulighed for at udsætte dit website for Brute Force Attacks? Det er desværre et faktum. 

WordPress skjuler ikke brugernavnene i koden på dit website - det skal du selv sørge for. Men bare rolig. Du er ikke alene, og løsningen er heldigvis ikke særlig kompliceret eller omfattende. 

Alle hosting- og driftsløsninger hos WP Drift™ inkluderer optimerede password-begrænsninger. 

Scan din WordPress-side for blotlagte brugernavne

Hver eneste uge, foretager vi mere end 50 scanninger af danske WordPress-adresser. Men hvorfor?

Lad mig sige det sådan - 9/10 alle WordPress-websites vi scanner - indeholder holder en eller flere sårbarheder, som kan udgøre en sikkerhedsrisiko for cyberangreb. Vores webscanner er indrettet på sådan måde, at den giver os et overblik over dit WordPress-sites nuværende situation i forhold til vigtige parametre. Parametre, som skal opretholde en høj ydeevne, samt stærke sikkerhedsbarriere overfor diverse risikosituationer. Herunder, login-angreb.

Hvis dit website indeholder blotlagte brugernavne i koden, kan ondsindede bots forsøge at tilegne sig adgang med en række algoritmer. Det er robotter som arbejder med mange tusinde af forsøg hver eneste sekund - hvilket betyder, at dit website vil overophede, hvorefter det går ned. Simpelthen fordi trafikken på IP-adressen bliver for omfattende.

Hvordan forhindrer du, at ovenstående scenarier ikke sker for din WordPress-tjenester?

Nyeste artikler om sikkerhed

Drift Hosting Sikkerhed ·7 min.
Opdatering. Opdatering. Opdatering
Bliv klogere på, hvorfor opdatering af software er et uundgåeligt emne at have styr på.
Sikkerhed ·4 min.
SSL-certifikat
SSL-certifikat. Hvorfor du ikke kan være det foruden.
Sikkerhed ·4 min.
Fail2Ban
Hold ondsindede robotangreb på afstand med Fail2ban.