المعلوماتية > اتصالات وشبكات
هجوم رش كلمة المرور Password Spraying Attack
هناك العشرات من الهجمات السيبرانية، ما سنتكلم عنه في هذا المقال هو هجوم رش كلمة المرور أو ما يُعرَف بـ Password Spraying Attack، فما هو؟
هجوم رش كلمة المرور هو نوع من أنواع هجمات التخمين (Brute force)، ولكن على عكس المتوقع والمتبع عادةَ؛ يخمّن المخترق كلمة المرور الخاصة بحساب المستخدم؛ إذ تُجرَّب كلمة مرور واحدة على مجموعة كبيرة من حسابات المستخدمين، وذلك لتجنب إغلاق الحساب أو قفله بسبب إدخال عدة كلمات مرور خاطئة في فترة زمنية قصيرة.
تُعدّ احتمالية نجاح هذا الهجوم عالية لأنّ مسؤولي التطبيقات أو الشبكة في الشركات غالبًا ما يعيّنون كلمة مرور افتراضية للمستخدمين الجدد (1).
خطوات تنفيذ هجوم رش كلمة المرور
- الخطوة الأولى: الحصول على قائمة بأسماء المستخدمين
وهي تُعدّ من الخطوات السهلة والبسيطة بالنسبة إلى المخترقين؛ إذ إنّ معظم الشركات تستخدم صِيَغًا معيّنة لتزويد الموظفين باسم المستخدم، مثل firstname.lastname@domain؛ مما يسمح للمخترق ببناء قائمة كاملة بأسماء المستخدمين بمجرد معرفة أسماء الموظفين. كذلك إن هذه البيانات يمكن تجميعها بطريقة سهلة باستخدام ملفات التعريف cookies أو عن طريق انتهاكات أمنية سابقة (2).
- الخطوة الثانية: رش كلمة المرور
إنّ الحصول على قائمة بأكثر كلمات المرور شيوعًا هو موضوع بسيط، ويُنجَز ذلك بإجراء بحث على الإنترنت أو المواقع التي تجري دراسات أمنية؛ إذ تُنشَر أكثر كلمات المرور استخدامًا على نحو دوري مثل password123، qwerty، 123456، وأسماء فرق كرة القدم وغيرها. وبمجرد الحصول على هذه القائمة يبدأ المخترق بالتجريب (2).
طريقة تنفيذ الهجوم
- الخطوة الثالثة: الوصول Gain Access
عند تخمين كلمة المرور الخاصة بحساب أحد المستخدمين بنجاح، يحصل المخترق على وصول كامل إلى بيانات المستخدم. لا يحتاج المخترقون سوى تطابق واحد صحيح ليتمكنوا من السيطرة على الحساب والدخول إلى الشبكة والعبث بالبيانات وسرقتها وتخريبها.
وحتى في حال عدم استخدام كلمات مرور شائعة من قبل الموظفين؛ فلا يزال هناك خطر من أن يجد المخترقون كلمة المرور الخاصة بحساب ما (2).
كيفية الكشف عن هجوم رش كلمة المرور
على الرغم من أنّ الإجراءات المضادة التقليدية قد لا تستطيع كشفَ هجمات رش كلمات المرور تلقائيًّا؛ ولكن هناك العديد من المؤشرات الموثوقة التي قد تساعد على الكشف عن هذا الهجوم مثل العدد الكبير من محاولات المصادقة وتسجيل الدخول، وخاصة المحاولات الفاشلة المُسجَّلة بسبب إدخال كلمات مرور غير صحيحة في فترة زمنية قصيرة. إضافةً إلى أنّ الارتفاع المفاجئ في عمليات إغلاق الحسابات بسبب استخدام كلمات مرور خاطئة هو أحد المؤشرات الوثيقة الصلة بهجوم رش كلمة المرور.
في كثير من الحالات، يؤدّي هذا الهجوم إلى ارتفاعٍ مفاجئ في محاولات تسجيل الدخول التي تتضمّن بوابات الدخول الموحّد SSO أو التطبيقات السحابية. وقد يستخدم المهاجمون أدوات وتطبيقات آلية لإجراء عددٍ كبير من عمليات تسجيل الدخول في فترة زمنية وجيزة، وغالبًا ما تأتي هذه المحاولات من عنوان IP واحد أو جهاز واحد (3).
كيفية التقليل من خطر الوقوع ضحية لهجوم رش كلمة المرور
تتطلب إستراتيجية الأمن السيبراني السليمة اتباعَ نهجٍ استباقيٍّ شامل يضمن حمايةً متعددةَ الطبقات لمنع أكبر عدد ممكن من الهجمات. ومن أفضل الممارسات المتّبعة لمواجهة هذا النوع من الهجوم:
- تعيين إجراءات لتأمين الحساب وذلك بعد عدد معيّن من محاولات تسجيل الدخول الفاشلة لمنع تخمين كلمات المرور، مع مراعاة أنّ السياسة الشديدة الصرامة قد تؤدي إلى إغلاق الحسابات.
- استخدم المصادقة الثنائية أو المتعددة العوامل (Multi-factor authentication) حيثما أمكن وللمستخدمين جميعهم.
- التأكد من أن كلمات المرور كلها تلتزم إرشادات المعهد الوطني للمعايير والتكنولوجيا (NIST)، ويمكن الاطلاع عليها من هنا.
- وضع سياسات سليمة لإعادة تعيين كلمات المرور بعد إغلاق الحساب.
- تطوير إستراتيجية كلمة مرور يمكن التحكم بها والدفاع عنها للحسابات المشتركة.
- إجراء تدريب منتظم للمستخدمين ضمن الشركات لضمان فهم تهديد رش كلمات المرور وكيف يمكنهم ابتكار كلمات مرور آمنة والحفاظ عليها.
وفي النهاية لا بُدّ من التذكير أنّ درهمَ وقاية خيرٌ من قنطار علاج؛ إذ إنّ الاهتمام بالأساسيات البسيطة الخاصة بالأمن السيبراني قد يجنّب الشركات الوقوعَ فريسةً لعملياتِ اختراقٍ قد تكلفها الكثير كي تتعافى منها (3).
المصادر:
2- P A. Spray you, spray me: defending against password spraying attacks [Internet]. Ncsc.gov.uk. 2018 [cited 15 October 2021]. Available from: هنا
3- Inside Microsoft Threat Protection: Mapping attack chains from cloud to endpoint - Microsoft Security Blog [Internet]. Microsoft Security Blog. 2020 [cited 15 October 2021]. Available from: هنا