Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) waarschuwt organisaties voor lastig te detecteren bruteforce-aanvallen die tegen organisaties in zowel de VS als daarbuiten worden ingezet. Bij een typische bruteforce-aanval probeert een aanvaller in hoog tempo allerlei wachtwoorden om zo toegang tot een account te krijgen.
Dit kan er echter voor zorgen dat het account tijdelijk wordt geblokkeerd. Volgens het US-CERT is het algemeen beleid om een account na een bepaald aantal mislukte pogingen in een bepaalde tijd tijdelijk te blokkeren. Bij bruteforce-aanvallen die van "password spraying" gebruikmaken, ook bekend als de "low and slow" methode, probeert een aanvaller één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.
Voor het uitvoeren van dergelijke aanvallen voeren de aanvallers verschillende voorbereidende stappen uit. Zo worden social engineering en online onderzoek uitgevoerd om organisaties en accounts te identificeren die via password spraying worden aanvallen. Bij de aanval maakt men vervolgens gebruik van eenvoudig te raden wachtwoorden en publiek beschikbare tools. Zodra er een account is gehackt wordt de adreslijst gedownload en wordt de aanval tegen meerdere accounts uitgebreid.
Organisaties kunnen password spraying herkennen aan een groot aantal inlogpogingen op hun SSO-portal of webapplicatie die van een enkel ip-adres afkomstig zijn. Andere aanwijzingen zijn inlogpogingen van medewerkers afkomstig van afwijkende ip-adressen. Om de aanvallen tegen adviseert US-CERT het gebruik van multifactor-authenticatie en het controleren van het wachtwoordbeleid.
Deze posting is gelocked. Reageren is niet meer mogelijk.