Dankzij films en series beelden we ons hackers altijd in als coole, capuchon dragende mensen die naar de matrix of iets dergelijks kijken op hun meerdere schermen, en complexe taken uitvoeren die ons begrip te boven gaan. Hoewel dat er inderdaad heel cool uitziet, wat we zullen toegeven, ziet hacken er meestal helemaal niet zo uit. Sterker nog, sommige van de meest voorkomende hackaanvallen hebben meer gemeen met het kapotslaan van een fietsslot met een hamer dan met enige ingewikkeld-crazy hacks en aanvallen. Een van deze soorten aanvallen staat bekend als de brute force aanval.
Brute force-aanvallen bestaan al sinds mensen wachtwoorden online begonnen te gebruiken. En als je de nodige veiligheidsmaatregelen niet neemt, kunnen ze verrassend effectief zijn in het hacken van je accounts, het stelen van je informatie, en over het algemeen je hele dag verpesten.
Dus we zijn hier om uit te leggen wat een brute force aanval is, hoe het werkt, hoe je slachtoffer wordt van een dergelijke aanval, en hoe je dat niet wordt.
Neem de volgende stap in online bescherming!
Bescherm je internetverbinding, versleutel je gegevens, waarborg je online privacy met
Dit is brute force aanval en zo werkt het
Zoals met alles wat technisch en nieuw is, kom je niet ver zonder te weten wat het precies betekent. Dus laten we beginnen met de definitie van het begrip brute force aanval is en kijken hoe zo’n aanval werkt.
Een brute-force aanval is in wezen een poging op basis van trial-and-error om het juiste wachtwoord, de PIN, encryptiesleutels of andere vormen van gevoelige data te raden.
Je hebt waarschijnlijk minstens één keer in je leven geprobeerd een wachtwoord te raden dat je bent vergeten. Een brute-force aanval is in essentie hetzelfde. Wat het onderscheidt, is de hoge frequentie van pogingen en het hoge volume van variaties om het wachtwoord te raden. In plaats van het handmatig te doen, wordt de aanval automatisch uitgevoerd met behulp van speciale geautomatiseerde software, die binnen enkele minuten of zelfs seconden miljoenen wachtwoordcombinaties kan doorlopen. Deze methode wordt “brute force” genoemd omdat het vertrouwt op de pure kracht van herhaalde pogingen in plaats van enige finesse of slimme tactieken.
De aanval werkt door systematisch alle mogelijke combinaties te controleren totdat de juiste wordt gevonden. Als een wachtwoord bijvoorbeeld zes karakters lang hoort te zijn, begint het programma van de aanvaller met het proberen van alle mogelijke wachtwoorden van één karakter, dan twee karakters, enzovoort, totdat het zes karakters bereikt.
Moderne brute force-aanvallen gebruiken vaak geavanceerde software die in staat is om miljoenen pogingen per seconde te doen, waardoor de kans op het kraken van de code aanzienlijk toeneemt.
Zoals je je kunt voorstellen, is dit soort aanval bijzonder efficiënt tegen eenvoudige of voorspelbare wachtwoorden. Dus als je een van de vele Nederlanders bent die nog steeds supergemakkelijk te raden wachtwoorden gebruikt, zoals ‘123456‘ of ‘wachtwoord‘, dan zou je in de problemen kunnen komen. De kans is dan zeker aanwezig dat je wachtwoord gekraakt kan worden door een goed geplaatste brute-force aanval.
Hoe werken brute force aanvallen?
1. Het begint allemaal met het identificeren van het doelwit van een aanval. Dat kan vrij willekeurig zijn, of heel specifiek en methodisch. Het kan ook meerdere zaken betreffen – een online account, een versleuteld bestand, een beveiligd netwerk, enz.
2. Eenmaal geïdentificeerd, lanceren hackers een grootschalige aanval op het doelwit met behulp van gespecialiseerde software die in staat is om duizenden of zelfs miljoenen mogelijke wachtwoordcombinaties in te dienen. De software begint meestal met de meest eenvoudige en gangbare combinaties, en verhoogt dan geleidelijk hun complexiteit. Bijvoorbeeld, als het systeem weet dat je wachtwoord 6 karakters lang is, zal het bijvoorbeeld beginnen met het wachtwoord ‘000000’,en dan doorgaan met alle andere mogelijke combinaties.
3. Het programma voert snel en automatisch verschillende wachtwoordcombinaties in het systeem in totdat het het juiste wachtwoord vindt. Zodra dat gebeurt, krijgt de aanvaller onmiddellijk toegang tot het account, bestand, systeem of netwerk, wat potentieel grote beveiligingsproblemen kan veroorzaken, niet alleen voor reguliere internetgebruikers, maar ook voor grote bedrijven die geen noodzakelijke beveiligingsmaatregelen treffen.
Het is belangrijk om op te merken dat brute-force aanvallen, omdat ze vrij basaal zijn, extreem tijdrovend kunnen zijn en niet altijd succesvol. Uiteraard, als je een sterk en gecompliceerd wachtwoord gebruikt, neemt de tijd die nodig is om het te kraken en het aantal benodigde combinaties exponentieel toe.
Wat zijn de verschillende soorten brute force aanvallen?
In concept zijn brute-force aanvallen vrij simpel, maar er zijn nog steeds verschillende soorten, en het kan nuttig zijn om die soorten te kennen en te weten wat ze doen.
Hier zijn de meest voorkomende soorten brute force aanvallen:
- Eenvoudige brute force aanval. Dit is de meest basale vorm, waarbij de aanvaller elke mogelijke combinatie van karakters probeert, totdat het juiste wachtwoord of de juiste sleutel wordt gevonden. Het begint met de eenvoudigste en kortste mogelijkheden, en gaat over naar langere en complexere.
- Woordenboekaanval. In plaats van willekeurige gissingen gebruikt deze methode een lijst van vooraf bepaalde mogelijkheden die meer kans hebben om te slagen. Deze mogelijkheden zijn meestal afgeleid van een ‘woordenboek’ van veelgebruikte wachtwoorden, zinnen en woorden die mensen vaak gebruiken.
- Hybride aanval. Deze soort combineert elementen van zowel brute force als woordenboekaanvallen. De aanvaller kan beginnen met een woordenboekbenadering en vervolgens overschakelen naar een willekeurigere brute-force methode, of vice versa. Het omvat vaak het toevoegen of vooraf laten gaan van gangbare tekens aan woordenboekwoorden.
- Rainbow table aanval. Dit is een meer geavanceerde methode waarbij de aanvaller vooraf berekende tabellen met hashwaarden voor verschillende wachtwoordcombinaties gebruikt. Het is effectief tegen systemen die hashfuncties gebruiken om wachtwoorden op te slaan.
- Omgekeerde brute force aanval. In plaats van te beginnen met bekende gebruikersnamen en wachtwoorden te raden, begint de aanvaller met een bekend wachtwoord (of een lijst van waarschijnlijke wachtwoorden) en probeert overeenkomende gebruikersnamen of accounts te vinden.
- Credential stuffing. Deze aanpak gebruikt eerder gelekte of gestolen gebruikersnaam-wachtwoordparen om ongeautoriseerde toegang te krijgen. De aanvaller gaat ervan uit dat veel gebruikers dezelfde inloggegevens voor meerdere accounts hergebruiken.
- Maskeraanval. Hier heeft de aanvaller enige kennis of vermoedens over de structuur van het wachtwoord (zoals lengte, gebruik van bepaalde karakters, enz.) en creëert een masker om het aantal benodigde gissingen te verminderen.
Enkele bekende voorbeelden van brute force aanvallen
De gevaren van brute force aanvallen zijn vrij duidelijk. Van het verkrijgen van toegang tot een Facebook-account tot potentieel toegang krijgen tot een bedrijfswebsite, interne systemen met gevoelige informatie, of een versleuteld bestand met geheime informatie – dit alles is een reëel gevaar dat elke dag gebeurt.
Voor het geval je het gemist hebt, hier zijn enkele van de grootste hacks die het resultaat waren van succesvolle brute force aanvallen:
Twitter hack (2020)
In een spraakmakend incident werden verschillende Twitter-accounts van beroemdheden en publieke figuren, waaronder Elon Musk, Bill Gates en Barack Obama, gecompromitteerd. Hoewel deze aanval sociale engineering en spear-phishing tactieken combineerde met brute force aanvallen, benadrukte het de risico’s die gepaard gaan met ontoereikende wachtwoordbeveiliging en toegangscontroles tot accounts.
Magento E-commerce aanvallen (2020)
Duizenden Magento online winkels werden het doelwit van een massale brute force aanval, gericht op het overnemen van beheerderspanelen en het implanteren van malware. Deze aanval onderstreepte het belang van sterke wachtwoordbeleid voor back-endsystemen.
WordPress aanvallen
WordPress-sites worden vaak het doelwit van brute force aanvallen, gericht op het compromitteren van beheerdersaccounts. In 2017 meldde Wordfence een toename van deze aanvallen, met miljoenen pogingen binnen een korte tijdspanne.
Nintendo accountinbreuken (2020)
Nintendo bevestigde dat ongeveer 300.000 accounts illegaal waren geopend via een brute force aanval op oudere Nintendo Network ID’s. De aanval leidde tot ongeautoriseerde logins en mogelijke blootstelling van persoonlijke informatie.
Microsofts waarschuwing over brute force aanvallen (2021)
Microsoft waarschuwde voor door de staat gesponsorde hackers die brute-force aanvallen gebruikten om verschillende organisaties te targeten. Dit was onderdeel van een bredere trend van het gebruik van brute force methoden om de infrastructuur voor thuiswerken tijdens de COVID-19 pandemie uit te buiten.
Fortinet VPN Kwetsbaarheid (2018)
Hoe bescherm je jezelf tegen brute force aanvallen?
Uiteraard is het niet alleen een datalek waar bedrijven zorg voor moeten dragen. Brute force aanvallen kunnen ons allemaal treffen, en daarom is het ieders verantwoordelijkheid om onze online veiligheid serieus te nemen en de nodige voorzorgsmaatregelen te nemen tegen deze veelvoorkomende online dreiging.
Maar wat kun je doen?
Nou, allereerst, de online wereld staat niet stil en heeft al enkele manieren om het al te vaak voorkomende gevaar van brute force aanvallen tegen te gaan. Sommige hiervan zijn het gebruik van CAPTCHA’s, accountvergrendelingsmechanismen na meerdere mislukte pogingen, nooit wachtwoorden als platte tekst in het systeem opslaan en meer.
Echter, brute force aanvallen zullen bestaan totdat er één simpel wachtwoord overblijft. Dus uiteindelijk ben jij degene die moet zorgen dat je wachtwoord beschermd is. Hier zijn de stappen die je kunt nemen om ervoor te zorgen dat je wachtwoorden goed beschermd zijn tegen dit soort dreiging:
1. Gebruik complexe wachtwoorden
We hebben het in bijna al onze artikelen wel een keer gezegd: je moet sterke, unieke en individuele wachtwoorden creëren en gebruiken voor elk account.
Een goed wachtwoord moet lang zijn (minstens 12-15 tekens) en een mix van letters (zowel hoofdletters als kleine letters), cijfers en symbolen bevatten. Hoe ingewikkelder het is, hoe minder waarschijnlijk het is dat een brute force-aanval enige kans heeft.
2. Vermijd gangbare woorden
Gebruik nooit gemakkelijk te raden wachtwoorden zoals “password“, “123456“, of “qwerty“. Nooit. Dit zijn enkele van de eerste opties die een brute force aanval zal proberen.
3. Hergebruik nooit wachtwoorden
Elk van je online accounts moet unieke wachtwoorden hebben. Zelfs als je één wachtwoord hebt dat je echt leuk vindt en het lijkt complex genoeg, zou je het niet in meer dan één account moeten gebruiken. Want in geval van een inbreuk zal de aanvaller onmiddellijk toegang hebben tot al je accounts in plaats van slechts één.
4. Verander regelmatig van wachtwoord
Regelmatig je wachtwoorden updaten kan de schade beperken als een van je accounts gecompromitteerd wordt.
5. Gebruik een wachtwoordmanager
Een wachtwoordmanager kan complexe wachtwoorden genereren en opslaan voor elk van je accounts, zodat je ze niet allemaal hoeft te onthouden.
6. Schakel tweefactorauthenticatie in
Dit voegt een extra beveiligingslaag toe door een tweede vorm van verificatie te vereisen (zoals een sms of een app-melding) naast je wachtwoord.
7. Beperk inlogpogingen
Gebruik waar mogelijk diensten die het aantal mislukte inlogpogingen beperken. Dit kan brute force aanvallen dwarsbomen door het account te vergrendelen na een bepaald aantal onjuiste gissingen.
8. Gebruik CAPTCHA-tests
Implementeer op je eigen websites of voor zakelijke systemen CAPTCHA-tests om te voorkomen dat geautomatiseerde software brute force aanvallen uitvoert.
Brute force aanvallen: Niet cool, wel echt
Brute force aanvallen zijn misschien niet zo flitsend als de hackscènes in films, maar de dreiging is echt en ligt overal op de loer. Jouw actieve betrokkenheid bij het beveiligen van je online accounts is daarom heel belangrijk. Door sterke, unieke wachtwoorden te gebruiken, regelmatig te wijzigen en tweefactorauthenticatie in te schakelen, ben je al een heel eind op weg.
Onthoud dat elke extra stap die je neemt om je accounts te beveiligen, bijdraagt aan een veiliger online ervaring.
