Один из самых распространённых типов атак на веб-сайт — это брутфорс (brute force).
Брут форс — это атака на веб систему, с целью взломать аккаунты. Чаще всего атакуются или форма авторизации или апи авторизации.
Так как же взламывают?
Для этого, злоумышленнику нужно или хорошо подготовится, или же найти готовые скрипты / инструкции по брутфорсу на конкретный веб сайт. Подготовка, в этом контексте, заключается в том, чтобы узнать входную точку запросов авторизации (адрес для ввода логина, чаще всего — адреса электронной почты, и пароля) и параметров запроса (ведь кроме логина и пароля могут потребоваться и другие параметры). Готовые инструкции злоумышленники находят на специализированных форумах, закрытых группах в соц сетях или заказывают у других злоумышленников.
Так же хакеру нужна база емэйл адресов и паролей для перебора. И тут есть различные подходы:
- первый подход: набор емэйл адресов (часто, это адреса, которые были «хакнуты» ранее или же слиты/проданы не-добропорядочными организациями) и перебор паролей, которые чаще всего используются большинством людей, например qweqwe, 123123 и иже с ними
- второй, более прогрессивный подход опишем далее. Многие люди используют один и тот же емэйл и пароль для регистрации на различных веб-сайтах. Это происходит, потому что так проще запомнить пароль. А теперь, представим, что на одном из таких сайтов была слабая защита и его взломали и «забрали» базу емэйлов-паролей, а пароли еще и не были защищены шифрованием… Теперь можно использовать эти «беспроигрышные» комбинации и на других сервисах. Самое неприятное здесь, что для защиты не помогает сложный пароль, каким бы сложным он не был. Что уж таить, взламывают и крупные сервисы, такие как соц сети и получают огромную базу, готовую к брутфорсу
Прежде чем углубляться в вопрос «Как», давайте осветим «Зачем» брутфорсят Ваш сайт.
Наибольший интерес у злоумышленников вызывают системы, в которых можно выводить деньги или же получать ценности, принадлежащие взломанным аккаунтам. Т.е. они подбирают логин и пароль, заходят в учетную запись, подставляют свои реквизиты для вывода средств или же другим способов завладевают ценностями.
Если же деньги вывести не удается, аккаунты можно продать другим злоумышленникам, особенно если средства/ценности есть на счету взломанных пользователей (тогда можно доказать ценности учетных записей скриншотами балансов).
Еще один способ заработать на таких взломах — шантаж компаний, подвергшихся атаке или же, даже, представится «этичными хакерами» и попросить вознаграждение за предоставленную информацию об уязвимости или взломанных аккаунтах.
Вернемся к вопросу «как» поподробнее.
Никто (или почти никто) не перебирает логины-пароли вручную. Для этого используют автоматизацию. Думаю, что инструментов для брутфорса множество. Один из самых популярных и известных мне, например SilverBullet. В ней можно выставлять различные параметры атаки, например количество запросов в секунду.
Так же, хакеры используют базу прокси-адресов (выделенных IP адресов) для того, чтобы их было сложнее заблокировать. Один IP адрес просто заблокировать средствами операционной системы или веб-сервера, а вот меняющиеся адреса — сложнее. Какое то количество IP адресов на относительно короткое время можно получить бесплатно (далее, по моим прикидкам один IP адрес будет стоить примерно 0.1 доллара в месяц). Регистрируются они на специализированных сайтах, которые их (прокси) продают легальным образом для безобидных целей. Но, как видите, часто используются для целей злоумышленников. Это базы прокси-адресов подключаются к программе брутфорса (той же SilverBullet). Так же туда подключаются другие параметры атаки, упомянутые ранее.
И атака запускается.