Was ist ein Brute-Force-Login-Angriff (und wie kann man ihn verhindern)?

Cyber-Angriffe sind immer ausgefeilter geworden, und Hacker finden immer cleverere Wege, um Daten zu stehlen und auf Websites und Datenbanken zuzugreifen. Eine der wichtigsten Möglichkeiten, wie ein Hacker auf eine Website zugreift, ist die Verwendung einer Brute-Force-Anmeldung oder eines Brute-Force-Angriffs.

Brute-Force-Angriff bezieht sich auf einen Angreifer, der mehrere Passwörter übermittelt, in der Hoffnung, die richtige Kombination zu erraten, um unbefugten Zugriff auf Ihre Systeme zu erhalten. Die vom Hacker verwendete Software kann oft innerhalb von Sekunden den Zugang zu einer Website, einem E-Mail-Konto oder einer anderen Datenbank sichern.

Es wird Brute Force genannt, weil die Versuche energisch und kontinuierlich durchgeführt werden, bis der Benutzername und das Passwort gesichert sind. Brute-Force-Angriffe sind einfache, aber hochwirksame Mittel, um Ihre Verschlüsselungsschlüssel zu knacken und auf Dateien zuzugreifen, die Sie geheim halten möchten.

Wie funktionieren Brute-Force-Angriffe?

Grundsätzlich sind Brute-Force-Anmeldungen so einfach wie das Erraten möglicher Passwörter. Aber der Schlüssel ist, mehrere Variationen auszuprobieren, bis Sie die Antwort finden.

Je länger die möglichen Passwörter sind, desto mehr Varianten müssen Sie ausprobieren. Ein zweistelliger Passcode hat 100 Möglichkeiten, während ein fünfstelliger Passcode 10 Milliarden hat. Denken Sie auch daran, dass die meisten Passwörter nicht nur aus Ziffern bestehen. Sie enthalten Alphabete, Großschreibung und Sonderzeichen. Aus diesem Grund sind schwache Passwörter leichter zu erraten als komplexe Passwörter.

Wenn Sie sich jemals gefragt haben, warum Websites darauf bestehen, dass Sie komplexe Passwörter verwenden, dann hilft dieses Bild möglicherweise bei der Erklärung.

Wie Sie sehen, können einfache Passwörter mit Brute-Force-Angriffen in weniger als einer Sekunde geknackt werden. Aber je komplexer sie sind, desto länger brauchen sie, um Kompromisse einzugehen.

Eine der wichtigsten Methoden zur Vermeidung von Brute-Force-Angriffen auf Ihre Website besteht also darin, von allen Benutzern lange und komplexe Passwörter zu verlangen. Tatsächlich wird die Passwortsicherheit heute als erste Verteidigungslinie gegen viele Formen von Cyberangriffen angesehen.

Ein weiteres Problem ist, dass aufgrund der enormen erforderlichen Rechenleistung die Verwendung eines Brute-Force-Bots die Rechengeschwindigkeit erhöhen und den Zugriff auf Ihre Systeme noch einfacher machen kann.

Warum werden Brute-Force-Versuche nicht gekennzeichnet?

Es gibt mehrere Möglichkeiten, wie Hacker die Entdeckung während einer versuchten Brute-Force-Anmeldung vermeiden können.

1. Sie verwenden mehrere IPs

Wenn Sie zu viele fehlgeschlagene Anmeldeversuche haben, weil Sie das falsche Passwort eingegeben haben, würden die meisten Systeme Sie bitten, eine Weile zu warten und es erneut zu versuchen, oder Sie vollständig sperren. Warum also erleiden diese Hacker nicht das gleiche Schicksal?

Brute-Force-Anmeldeversuche werden auf listige und systematische Weise ausgeführt, an der mehrere Computer und IP-Adressen beteiligt sind.

Eine verwendete Taktik wird als verteilter Angriff bezeichnet, bei dem jede IP nur eine begrenzte Anzahl von Malen versucht, Ihr Passwort zu erraten, wonach sie vollständig aufhört. An ihre Stelle tritt dann eine andere IP.

Multiplizieren Sie dies jetzt in großem Maßstab, wobei Dutzende oder sogar Hunderte von Bots versuchen, sich alle gleichzeitig anzumelden, aber nie genug oft versuchen, einen Sicherheitsmechanismus auszulösen.

2. Sie raten nicht nur

Bei Brute-Forcing-Angriffen handelt der Hacker auf der Grundlage einiger verfügbarer Informationen. Beispielsweise verwenden die meisten Menschen auf vielen Plattformen dasselbe Passwort, sodass eine Datenschutzverletzung von einer anderen Plattform ein ziemlich guter Ausgangspunkt ist. Dies wird als umgekehrter Brute-Force-Angriff bezeichnet, da ein Hacker mehrere Benutzernamen ausprobiert, bis er einen findet, der zum Passwort passt.

Es gibt auch andere Taktiken. Beispielsweise können Hacker Wörterbuchangriffe verwenden, bei denen der Hacker Kennwörter mit Standardwörtern durchläuft – beispielsweise „Kennwort“, „admin“, „iloveyou“ oder „1234567890“.

Ein Wörterbuchangriff ist eine gängige Methode, um einfache Passwörter aufzuschlüsseln, und eine, die erschreckend erfolgreich ist und häufig verwendet wird. Hacker können auch Hybrid-Brute-Force-Angriffe verwenden, die Wörterbuchangriffe mit einfachen Brute-Force-Angriffen kombinieren.

Berühmte Beispiele für Brute-Force-Angriffe

Alibaba (2015)

Ein berühmtes Beispiel für Brute-Force-Angriffe ist die TaoBao-Site von Alibaba. Zwischen Oktober und November 2015 erlitt der E-Commerce-Riese einen Brute-Force-Angriff, der vom Sicherheitsteam unentdeckt blieb. In diesem Fall wurden die übermäßigen Anmeldeversuche aufgrund des konstant hohen Datenverkehrs von TaoBao nicht gekennzeichnet.

Berichte behaupten, dass wiederverwendete Passwörter für einige der kompromittierten Konten verantwortlich waren, da die Hacker gestohlene Kontoanmeldeinformationen von anderen Websites wiederverwendeten. Die Hacker hatten über 99 Millionen Kontoanmeldeinformationen, mit denen sie arbeiten konnten, und sie haben erfolgreich über 20 Millionen Benutzerkontoprofile gehackt.

Club Nintendo (2013)

Club Nintendo ist eine Community-Mitgliederseite, auf der Benutzer alles über Nintendo diskutieren. Im Jahr 2013 erlitt die Website einen Brute-Force-Angriff, bei dem Hacker nach 15 Millionen Versuchen schließlich Benutzerkonten knackten.

Glücklicherweise wurden alle kompromittierten Konten schnell gesperrt, bis sie an die rechtmäßigen Eigentümer zurückgegeben werden konnten. Berichten zufolge waren über 25.000 Forumsmitglieder von dem Angriff betroffen.

GitHub (2013)

Github ist wohl das größte Beispiel für Brute-Force-Angriffe in der Geschichte. Im Jahr 2013 verschafften sich Hacker nach mehreren Versuchen Zugriff auf mehrere Benutzerkonten von fast 40.000 eindeutigen IP-Adressen. Berichte deuten darauf hin, dass die Hacker Informationen aus anderen Datenlecks verwendet haben.

Github speichert Benutzerpasswörter sicher, und obwohl unklar ist, wie viele Konten kompromittiert wurden, zeigen Schätzungen, dass es nur sehr wenige waren.

Was ist das Ziel eines Brute-Force-Angriffs?

Benutzerdaten sind in unserer digitalen Welt unglaublich wertvoll. Von Zahlungsinformationen oder Steuerdetails bis hin zum einfachen Zugriff auf E-Mail-Adressen und Passwörter. Dies sind die Hauptgründe für Brute-Force-Angriffe.

Zugriff auf Ihre Benutzerdaten

Websites mit vielen Benutzerdaten sind oft Ziel von Brute-Force-Angriffen. Bei Erfolg können Hacker nicht nur Zugriff auf das Benutzerkonto erlangen, sondern diese Zugangsdaten oft auch auf anderen Websites verwenden.

Tatsächlich können Hacker mit einer Datenbank bekannter Benutzerdaten Brute-Force-Angriffe durchführen, indem sie diese gesammelten Details auf Websites im Internet verwenden.

Nutzen Sie Webressourcen

Mit speziellen Hacks wie einem Brute-Force-WordPress-Login versucht der Angreifer, die Ressourcen Ihrer Website zu seinem Vorteil zu nutzen. Beispielsweise möchten sie möglicherweise Ihre Website verwenden, um ohne Ihr Wissen Spam- und Phishing-E-Mails zu versenden. Hacker können Ihre Website auch verwenden, um andere Websites zu hacken, da Ihre IP wahrscheinlich noch nicht auf der schwarzen Liste steht.

Andere Gründe für die Brute-Force-WordPress-Anmeldung sind das Schürfen von Kryptowährung oder das Umleiten des Datenverkehrs Ihrer Website.

Untersuchen Sie Schwachstellen

White-Hat-Hacker, die oft als ethische Hacker oder Hacktivisten bezeichnet werden, haben keine böswilligen Absichten. Stattdessen testen sie die Stärke der Sicherheit eines Systems, um Schwachstellen auszusortieren und diese zu melden. So kann ein White-Hat-Hacker im Rahmen einer Sicherheitsüberprüfung einen Brute-Force-Angriff auf Websites durchführen.

Wie verhindert man einen Brute-Force-Angriff?

Wie die meisten Elemente der Cybersicherheit kann die Verhinderung von Brute-Force-Angriffen mit einer Reihe einfacher Schritte durchgeführt werden.

Verwenden Sie komplexe Passwörter

8 von 10 bestätigten Datenschutzverletzungen sind auf schwache oder gestohlene Passwörter zurückzuführen – die oben erwähnten Wörterbuchangriffe. Ein guter Ausgangspunkt ist also, sicherzustellen, dass Ihre Passwörter wie folgt lauten:

• Stark (eine Kombination aus Buchstaben, Zahlen und Sonderzeichen)
• Einzigartig auf allen Plattformen
• Mehr als 12 Zeichen

Automatisierte Brute-Force-Angriffe mit gängigen Passwörtern können in Sekundenschnelle in eine Website oder ein Benutzerkonto eindringen.

Beschränken Sie Anmeldungen auf bestimmte IP-Adressen

Das Einschränken bestimmter IP-Adressen für den Zugriff auf Ihre Website kann auch Brute-Force-Angriffe verhindern. Viele Sicherheitsdatenbanken enthalten Aufzeichnungen von Brute-Force-Bot-IP-Adressen. Durch das Blockieren dieser IP-Adressen müssen Hacker besonders hart arbeiten, um erfolgreich auf Ihre Website zuzugreifen.

Eine Möglichkeit besteht darin, einen Remotezugriffsport für eine statische IP-Adresse einzurichten. Sie können auch ein VPN konfigurieren.

Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung wird oft als erste Verteidigungslinie gegen Brute-Force-Angriffe angesehen. Sie stellen sicher, dass Hacker nicht nur mit einem Benutzernamen und einem Passwort auf Ihre Daten zugreifen können. Sie benötigen auch Ihr Smartphone oder Ihren E-Mail-Client.

Überwachen Sie Ihre Serverprotokolle

Die Überwachung Ihrer Serverprotokolle ist eine proaktivere Methode, um Ihre Website vor Brute-Force-Angriffen zu schützen. Protokolle zeichnen jeden fehlgeschlagenen Anmeldeversuch auf, und durch deren Analyse können Sie verdächtige Aktivitäten identifizieren.

Verwenden Sie Tools wie Logwatch, um tägliche Überprüfungen durchzuführen und Berichte zu erstellen, die Sie leicht interpretieren können.

Verhindern Sie Bot-Aktivitäten auf Ihrer Website

Da Brute-Force-Angriffe normalerweise von automatisierten Bots ausgeführt werden, ist das Blockieren dieser Form des Datenverkehrs eine der effektivsten Möglichkeiten, sie zu vermeiden.

Bot Zapping von ClickCease blockiert Bot-Traffic auf WordPress-Websites. Dadurch werden Cyberangriffe wie SEO-Spam, DDoS-Angriffe und Brute-Force-Angriffe proaktiv und in Echtzeit verhindert.

Wenn Sie eine Website mit einer Benutzerdatenbank, einer Checkout-Funktion oder sogar einer stark frequentierten Website betreiben, müssen Sie das Blockieren des Bot-Verkehrs als wesentliches Sicherheitsmerkmal in Betracht ziehen.

Jenseits des Brute-Force-Angriffs

Obwohl ein Brute-Force-Angriff aus verschiedenen Gründen schädlich sein kann, sind die Bedrohungen für Ihr Online-Geschäft vielfältig. Und wie oben erwähnt, kommt es oft auf Bots an.

Böswillige Bots sind für die meisten böswilligen und schädlichen Aktivitäten im Internet verantwortlich. Wenn Sie sich also um die Netzwerksicherheit kümmern und verhindern, dass Bots jeglicher Art Zugriff auf Ihre Website erhalten, können Sie geschützt sein vor:

• Datenschutzverletzungen und die daraus resultierenden Reputationsschäden
• Schäden an Ihrer Website-Infrastruktur wie die Installation von Malware oder das Einschleusen von Inhalten
• Website bei DDoS- oder Ransomware-Angriffen offline geschaltet
• Klickbetrug und Anzeigenbetrug, die Ihren bezahlten Werbekampagnen schaden

Bot Zapping von ClickCease ist ein neues Produkt in unserem Anti-Betrugs-Toolkit für Vermarkter. Derzeit funktioniert es nur für WordPress-Websites, obwohl WordPress-Websites 40 % des Internets ausmachen.

Bestehende ClickCease-Benutzer können Bot Zapping einen kostenlosen Monat lang testen, um zu sehen, wie es funktioniert.

Neue Benutzer können sich für eine kostenlose Testversion anmelden, um eine Verkehrsprüfung auf ihren Websites durchzuführen.