Passwort-Spraying-Angriffe zählen zur Gruppe der Brute-Force-Attacken, unterscheiden sich allerdings deutlich, wie die Angreifer vorgehen. Während sich Angreifer bei einem Brute-Force-Angriff generell auf ein Benutzerkonto konzentrieren und eine beliebige Anzahl von Passwörtern durchprobieren, wird die Password-Spraying-Attacke mit einem oder wenigen Passwörter auf zahllose Benutzerkonten gleichzeitig durchgeführt.
Was versteht man unter einem Passwort-Spraying-Angriff?
Viele Nutzer verwenden trotz zahlreicher Warnungen, Hinweise und erfolgreichen medienwirksamen Hacks in der Vergangenheit auch weiterhin schwache Passwörter für ihre Zugangsdaten und nutzen diese oftmals auch mehrmals für verschiedene Konten. Das wissen auch die Angreifer und machen sich diesen Umstand zu nutze.
Bei einem Password-Spraying-Angriff verwenden Angreifer nämlich einige wenige ausgewählte schwache aber oft genutzte Passwörter (wie z.B. Password123) und „versprühen“ diese auf eine Vielzahl von Nutzerkonten. Daher der Begriff Password-Spraying.
Sprüht man so ein Passwort nun über mehrere Tausend, Millionen oder sogar Milliarden Nutzerkonten, ist die Wahrscheinlichkeit groß, dass einige Nutzer genau dieses Passwort verwendet haben und der Angreifer erfolgreich auf diese Konten zugreifen und kompromittieren kann.
Dabei automatisieren Hacker ihre „Sprayvorgänge“ und verwenden hierfür regelmäßig Tools oder eigene Skripte, die ihnen helfen, eine größtmögliche Anzahl von Operationen pro Zeiteinheit abzuwickeln.
Bei den Angriffen gibt es regelmäßig keine vormals ausgewählten Angriffsopfer, da basierend auf der Wahrscheinlichkeitstheorie eine beliebig große Anzahl an Nutzerkonten attackiert wird. Sollte ein Angriff allerdings erfolgreich Konten von bestimmten Berufsgruppen wie Administratoren oder die oberste Führungsebene von Unternehmen oder Firmen kompromittieren, ist das für Hacker besonders interessant. Fungieren diese kompromittieren Firmenkonten als Quasi „Masterzugang“ mittels Single Sign-On (SSO) ohne MFA/2FA haben Angreifer ein Schlaraffenland an Möglichkeiten vor sich.
Wie läuft ein Passwort-Spraying-Angriff ab?
Ein jeder Passwort-Spraying-Angriff startet mit der Beschaffung von ausreichend (in der Regel Tausenden oder Millionen) Benutzernamen in Form von E-Mail-Adressen. Diese werden entweder im Darknet erworben, oder die Angreifer erstellen die Listen selbst. Da viele Unternehmen auf eine standardisierte Zusammensetzung von E-Mail-Adressen wie z.B. vorname.nachname@unternehmen.com setzen, ist das Erstellen solcher Listen meist einfacher als man denkt. Mit speziellen Tools lässt sich dann noch die Richtigkeit dieser E-Mailadressen überprüfen. Leichter machen es Hackern manche Unternehmen, die persönliche E-Mail-Adressen direkt auf der Unternehmensseite stehen haben.
Nachdem eine große Anzahl von E-Mailadressen gesammelt wurde, erfolgt als nächstes die Auswahl einer kleinen Zahl von beliebten Passwörtern, die im Rahmen der Passwort-Spraying-Attacken ausgetestet werden sollen. Dafür werden regelmäßig Listen mit den am häufigsten verwendeten Passwörtern, die sehr einfach im Internet zu finden sind (u.a. in jährlichen Sicherheitsstudien) genutzt. Hat der Angreifer eine bestimmte Nutzergruppe im Auge, können bei der Passwortauswahl auch regionale Gegebenheiten oder Nutzergruppenspezifische Eigenschaften zum Einsatz kommen wie Sehenswürdigkeiten, Sportvereine Hundenamen, usw.
Sind die Listen mit den E-Mail-Adressen und Passwörtern komplett, besteht das Ziel darin, möglichst viele funktionierende Kombinationen pro Angriffsobjekt (also z.B. App, Webpage, Portal, Unternehmensserver) zu finden. Angreifer verwenden dazu meist spezielle Tools und beginnen damit, das erste Passwort über alle E-Mail-Adressen zu sprühen. Um keinen Sicherheitsmechanismus wie eine Sperrfunktion (Lock-out-Funktionalität) auszulösen, warten sie einige Minuten bis Stunden bevor das nächste Passwort über die Zielkonten gesprüht wird.
Oftmals haben die Angreifer aufgrund der großen Anzahl der gestarteten Angriffe mit dieser Methode zumindest bei einzelnen Zugängen Erfolg. Aufgrund von schwachen und oft gängigen Passwörtern funktioniert der Zugriff auf hunderte Nutzer. Gehört eines diese Konten dann auch noch einem Administrator, kann dies schwerwiegende Konsequenzen für den kompromittieren Nutzeraccount und das dahinterstehende Unternehmen bedeuten.
Wie lassen sich Passwort-Spraying-Angriff erkennen und verhindern?
Bei einem Passwort-Spraying-Angriff sprühen die Angreifer ein Passwort nach dem anderen über eine große Anzahl von Benutzerkonten. Viele dieser Anmeldeversuche sind nicht erfolgreich, wenn die Nutzer starke Passwörter verwenden. Auch wenn ein fehlerhafter Zugriff auf Nutzerkontoebene alleine nicht ungewöhnlich ist, können eine ungewöhnliche hohe Anzahl von erfolglosen Nutzerzugriffen auf die Gesamtheit aller Nutzerkonten ein auffälliges Warnsignal darstellen. Gleiches gilt, wenn viele Anmeldeversuche für unbekannte oder inaktive Konten erfolgen.
Mit entsprechenden Protokollen lassen sich solche Aktivitäten feststellen und Gegenmaßnahmen einleiten wie z.B. Nutzer mit schwachen Passwörtern auffordern, ihre Passwörter zu ändern. Wichtig ist in diesem Zusammenhang die Verwendung von Passwortrichtlinien für starke Passwörter und die automatisierte Prüfung dieser Kriterien beim Passwortsetzenvorgang (Passwortstärke-Prüfer). Alternativ kann auf passwortlose Authentifizierungslösungen wie Biometrie oder Magic Link zurückgegriffen werden. Admin-Zugänge oder Konten mit weitreichenden Rechten sollten zudem immer mit einer Zwei-Faktor-Authentifizierung abgesichert werden.