Mimecast Logo
Richiedi un preventivo

    Che cos'è un attacco di forza bruta?

    Un problema crescente, gli attacchi di forza bruta tentano di ottenere l'accesso agli account utente o alle password provando molte combinazioni possibili.
    Programma una demo
    Che cos'è un attacco di forza bruta?
    Programma una demo
    Presentazione

    Introduzione all'attacco di forza bruta

    Anche se può sembrare rozzo e poco sofisticato, l'hacking a forza bruta è tra i tipi più comuni di violazione della sicurezza informatica, con i criminali informatici che utilizzano questo semplice attacco regolarmente. In sostanza, un attacco di forza bruta consiste nell'"indovinare" il nome utente e la password di un utente per accedere ad account e reti sensibili. Tuttavia, il suo alto tasso di successo è attribuito non tanto alle congetture umane quanto ai bot automatizzati che possono eseguire molti processi per trovare con successo la combinazione giusta.

    Ma come funzionano gli attacchi di forza bruta e come lei e la sua organizzazione potete riconoscerli e prevenirli? Qui esploriamo queste e altre domande.

     

    GettyImages-1208356030-1200px.jpg

     

    Definizione di attacco brute force

    Essendo uno dei primi metodi di hacking, i cyberattacchi a forza bruta hanno sempre preso di mira persone con combinazioni di utenti e password deboli. Nei primi esempi, questo è stato ottenuto con semplici congetture e deduzioni umane, spesso sfruttando informazioni personali già note per ottenere l'accesso ad account e reti.

    Ad esempio, i criminali informatici spesso fanno leva su password deboli (1234, password, ecc.) e su nomi utente comuni che possono essere facilmente associati a informazioni pubblicamente disponibili sull'utente (nome dell'animale domestico, nome della madre, date di nascita, ecc.) Una volta acceduto, i criminali informatici si concentrano anche sulle abitudini di sicurezza dei pigri, che utilizzano le stesse password su più siti o account.

    Oggi, tuttavia, i bot sempre più sofisticati e gli elenchi facilmente disponibili di credenziali comunemente utilizzate, o persino le credenziali reali degli utenti raccolte in precedenti violazioni, sono a disposizione dei criminali informatici che utilizzano tecniche di forza bruta. Questi strumenti e risorse di attacco brute force consentono ai criminali informatici di testare varie combinazioni fino a trovare le informazioni di login corrette o di consentire l'accesso istantaneo agli account in cui le password e i nomi utente non sono stati modificati dopo una violazione della sicurezza.

    In tutti questi casi, i criminali informatici cercheranno di rubare altre informazioni, infettare siti e reti con malware e/o interrompere l'attività. In alcuni casi, questo può significare che un attacco di forza bruta è quasi istantaneo, mentre in altri, gli attacchi possono protrarsi per molti giorni, mentre un bot cerca di decifrare il codice. In ogni caso, un attacco riuscito significa lo stesso, accesso non autorizzato a dati e reti sensibili.

    Diversi tipi di attacchi brute force

    Un'ampia gamma di attacchi di forza bruta esistenti è ben nota ai professionisti della cybersicurezza. Poiché questo attacco è relativamente meno impegnativo di altri tipi, i nuovi metodi sono in continua evoluzione. Alcuni esempi di attacchi brute force più comuni includono:

    Semplice attacco di forza bruta

    Il tipo più semplice di attacco brute force è quello in cui i criminali informatici tentano di indovinare manualmente le credenziali di accesso di un utente. Anche se questo può sembrare quasi impossibile, il fatto che molti utenti si affidino ancora a password deboli e a nomi di utente comuni significa che i criminali informatici possono ancora trovare successo, con una ricerca minima necessaria per ottenere l'accesso agli account personali e alle reti organizzative.

    Attacco del dizionario

    Un altro approccio semplice ai metodi di forza bruta è l'attacco a dizionario. I criminali informatici consultano i dizionari e modificano le parole per trovare la password corretta legata a un nome utente mirato. Queste tecniche non sono strettamente esclusive degli attacchi a forza bruta, ma fanno parte del set di strumenti che i criminali informatici utilizzano per craccare le password deboli.

    Imbottitura di credenziali

    Rimanendo sul tema delle combinazioni deboli di nome utente e password, il credential stuffing mira a colpire gli utenti che utilizzano ripetutamente le stesse credenziali su più siti o app. Avendo già rubato le credenziali da altre aree, i criminali informatici testeranno le stesse combinazioni su vari account. Ha successo quando gli utenti si affidano a password identiche o simili per molti o tutti i loro accessi.

    Attacco ibrido di forza bruta

    Combinando i semplici attacchi di forza bruta con l'attacco a dizionario, gli hack ibridi di forza bruta iniziano solitamente con i criminali informatici che conoscono già un nome utente specifico. Utilizzano quindi sia le congetture che le tecniche del dizionario per scoprire una password che può essere una combinazione di parole conosciute più caratteri, lettere e numeri.

    Attacco di forza bruta inverso

    Partendo da una password nota o comune, questa volta, gli attacchi reverse brute force vedono i criminali informatici tentare di collegare queste credenziali a nomi utente specifici, cercando in grandi database. Ad esempio, una password debole può essere facilmente collegata a molti nomi utente conosciuti, offrendo all'aggressore molte opzioni con cui lavorare.

    Diversi tipi di strumenti di attacco brute force

    Gli strumenti di attacco brute force conosciuti includono:

    • THC-Hyrda - Come strumento open-source, THC-Hyrda esegue numerose combinazioni di password utilizzando tecniche semplici di forza bruta o di dizionario. In costante sviluppo, può attaccare più sistemi operativi e più di 50 protocolli.
    • Aircrack-ng - Questa suite di strumenti tenta di valutare la sicurezza delle reti Wi-Fi e di esportare i dati che possono poi essere utilizzati per creare punti di accesso falsi dove raccogliere le credenziali.
    • John the Ripper - Un altro strumento open-source di forza bruta, John the Ripper è uno strumento di recupero password che supporta centinaia di crack di password utente. Questo attacco si applica tipicamente alle password degli utenti per macOS, Unix e Windows, oltre al supporto generico per chiavi private crittografate e file di documenti, server di database, applicazioni web e traffico di rete.

    Esempi di attacchi brute force

    Molti esempi di brute force di alto profilo hanno fatto notizia, e molti altri sono stati probabilmente coperti da grandi organizzazioni. Alcuni degli attacchi più noti includono:

    • 2009 - I criminali informatici hanno utilizzato script automatizzati di violazione delle password sugli account Yahoo.
    • 2015 - Attaccanti con forza bruta hanno violato quasi 20.000 account di Dunkin Donuts.
    • 2017 - I criminali informatici hanno utilizzato la forza bruta per accedere alle reti interne dei Parlamenti del Regno Unito e della Scozia.
    • 2018 - Un bug di Firefox ha esposto le password master ad attacchi di forza bruta.
    • 2021 - I criminali informatici hanno avuto accesso alle reti di test di T-Mobile e hanno utilizzato tecniche di forza bruta per accedere ad altri server IT.

    Come prevenire gli attacchi brute force

    La prevenzione degli attacchi di forza bruta all'interno di un'organizzazione si riduce generalmente alla responsabilità dei singoli utenti. Tuttavia, esistono anche delle best practice definite dai team di cybersecurity che possono aiutare. Da entrambi i punti di vista, questi suggerimenti possono aiutare a prevenire o a rallentare gli attacchi di forza bruta, in modo che i team di cybersecurity possano identificare e risolvere eventuali problemi.

    Per gli utenti:

    • Non derivi mai le password o i nomi utente da informazioni pubblicamente disponibili online.
    • Utilizzi il maggior numero possibile di caratteri diversi quando imposta le password.
    • Per le password utilizzi una combinazione di lettere (maiuscole e minuscole), numeri e simboli.
    • Utilizzi credenziali diverse per ogni accesso al conto.
    • Non usi modelli comuni o combinazioni popolari.

    Per gli amministratori:

    • Si assicuri che gli utenti della rete seguano i consigli di cui sopra per creare password forti.
    • Implementa politiche di blocco che bloccano gli account dopo diversi tentativi di accesso falliti.
    • Implementa ritardi progressivi sui login che bloccano gli account per brevi periodi dopo ogni login fallito. Questo aiuterà a rallentare gli attacchi massicci di forza bruta.
    • Utilizzi gli strumenti Captcha per evitare che i bot effettuino attacchi massicci di forza bruta.
    • Implementa l'autenticazione a due fattori sugli account particolarmente vulnerabili ai criminali informatici.

    Inoltre, i team di cybersecurity potrebbero voler implementare misure di crittografia sui dati più sensibili, rendendoli significativamente più difficili da raggiungere per i criminali informatici, anche se riescono a violare la rete.

    Conclusione: attacco a forza bruta

    La prevenzione è sempre la migliore difesa, quindi prenda subito provvedimenti per proteggere i suoi sistemi dalle tecniche di attacco brute force.

    Scopra di più sulle soluzioni Mimecast per il rilevamento e la prevenzione degli attacchi brute force.

    Risorse correlate sull'attacco di forza bruta

    Resources_41.jpg
    Email Collaboration Threat Protection

    Gartner® Quadrante magico™ per la sicurezza delle e-mail

    Analyst Report
    Resources_19.jpg
    Email Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_08.jpg
    Email Collaboration Threat Protection

    Il costo e il rischio degli attacchi e-mail: Mimecast contro la concorrenza

    Infographic
    Back to Top