Атака перехвата паролей
Атака перехвата паролей — это класс методов несанкционированного доступа к учётным данным пользователя (логинам и паролям), реализуемый путём перехвата, копирования или анализа трафика, вводимых данных или хранящейся информации в процессе аутентификации. Такие атаки направлены на компрометацию учётных записей в информационных системах, включая веб-сервисы, корпоративные сети, базы данных и локальные приложения. В отличие от атак, основанных на подборе паролей (брутфорс) или социальной инженерии, перехват предполагает пассивное или активное вмешательство в каналы передачи данных без непосредственного взаимодействия с жертвой.
История и развитие
Первые упоминания о перехвате паролей относятся к эпохе ранних компьютерных сетей (1960–1970-е годы), когда протоколы передачи данных, такие как Telnet и FTP, передавали учётные данные в открытом виде (plaintext). В 1980-х годах с распространением локальных сетей (Ethernet) стали возможны атаки на уровне протокола ARP (ARP-spoofing), позволяющие перехватывать пакеты между узлами. В 1990-х годах развитие Интернета привело к появлению специализированных инструментов для сниффинга трафика, например, tcpdump (1987) и Wireshark (1998, первоначально Ethereal). С внедрением шифрования (SSL/TLS в 1994–1995 годах) классический перехват стал менее эффективным, но появились новые методы, такие как SSL-stripping и атаки «человек посередине» (Man-in-the-Middle, MITM). В 2010-х годах акцент сместился на перехват паролей через вредоносное ПО (кейлоггеры, инфостилеры) и фишинговые страницы, а также на атаки на протоколы аутентификации (например, NTLM relay).
Классификация атак перехвата паролей
Атаки перехвата паролей делятся по способу получения данных, типу целевого канала и используемым технологиям.
По способу перехвата
- Пассивный перехват (сниффинг) — мониторинг сетевого трафика без изменения его содержимого. Злоумышленник прослушивает канал передачи данных (локальная сеть, Wi-Fi, интернет-канал) и извлекает из пакетов учётные данные, если они не зашифрованы или передаются с уязвимым шифрованием. Примеры: перехват HTTP-трафика, перехват паролей в открытых Wi-Fi-сетях.
- Активный перехват (MITM) — злоумышленник внедряется в канал связи между клиентом и сервером, перехватывая и модифицируя передаваемые данные. Включает ARP-spoofing, DNS-spoofing, SSL-stripping и атаки на протоколы аутентификации (например, SMB relay). В результате злоумышленник может не только перехватить пароль, но и подменить его или перенаправить аутентификацию на подконтрольный сервер.
- Перехват на стороне клиента — получение паролей из памяти процессов, файлов подкачки, кэша браузера или логов ввода. Реализуется с помощью вредоносного ПО (кейлоггеры, инфостилеры, трояны удалённого доступа) или эксплуатации уязвимостей в операционной системе и приложениях.
- Перехват на стороне сервера — компрометация серверной инфраструктуры (баз данных, логов аутентификации, файлов конфигурации) для извлечения хранящихся паролей. Часто сочетается с атаками на хеши паролей (например, радужные таблицы, атаки по словарю).
По типу целевого канала
- Сетевой перехват — перехват трафика на уровне IP-пакетов (сниффинг) или протоколов прикладного уровня (HTTP, FTP, SMTP, Telnet).
- Локальный перехват — перехват данных на уровне операционной системы (кейлоггинг, дамп памяти, чтение файлов).
- Перехват через сторонние сервисы — компрометация учётных данных через уязвимости в облачных сервисах, API или системах единого входа (SSO).
По используемым технологиям
- Атаки на протоколы без шифрования — перехват паролей, передаваемых в открытом виде (HTTP, FTP, Telnet, POP3).
- Атаки на протоколы с уязвимым шифрованием — эксплуатация слабостей в SSL/TLS (например, атака POODLE, атака на RC4), перехват с подменой сертификатов.
- Атаки на хеши паролей — перехват хешей (NTLM, LM, SHA-1) с последующим восстановлением исходного пароля методами брутфорса, радужных таблиц или атаки по словарю.
- Фишинговые атаки с перехватом — создание поддельных страниц аутентификации, которые перехватывают введённые учётные данные и передают их злоумышленнику.
Методы реализации
Сниффинг трафика
Сниффинг (от англ. sniff — нюхать) — пассивный метод, при котором злоумышленник подключается к сегменту сети (например, через Wi-Fi или Ethernet) и с помощью специализированного программного обеспечения (Wireshark, tcpdump, Cain & Abel) захватывает все проходящие пакеты. Если протокол не шифрует данные (HTTP, FTP, Telnet), пароль извлекается из поля данных пакета в читаемом виде. В современных сетях с шифрованием (HTTPS, SSH) сниффинг малоэффективен, если не скомпрометированы сертификаты или не используются уязвимые версии протоколов.
Атака «человек посередине» (MITM)
MITM-атака предполагает активное вмешательство в канал связи. Злоумышленник перехватывает запрос клиента, модифицирует его и пересылает серверу, а ответ сервера — клиенту. Для этого используются:
- ARP-spoofing — подмена ARP-таблиц в локальной сети, чтобы трафик между двумя узлами проходил через устройство злоумышленника.
- DNS-spoofing — подмена DNS-записей, чтобы перенаправить запрос клиента на подконтрольный сервер.
- SSL-stripping — понижение версии протокола с HTTPS до HTTP путём перехвата первоначального запроса и замены защищённого соединения на незащищённое. Впервые описан исследователем Мокси Марлинспайком в 2009 году.
- Атака на протокол NTLM (NTLM relay) — перехват хеша NTLM при аутентификации в Windows-сетях и его передача на другой сервер для получения доступа.
Кейлоггинг
Кейлоггеры (от англ. keylogger) — программы или аппаратные устройства, записывающие нажатия клавиш на клавиатуре. Данные могут сохраняться локально или передаваться злоумышленнику через сеть. Кейлоггеры могут быть встроены в операционную систему (драйверы клавиатуры), в браузерные расширения или в виде вредоносного ПО (трояны). Аппаратные кейлоггеры подключаются к разъёму клавиатуры (PS/2, USB) или встраиваются в корпус устройства. Кейлоггинг позволяет перехватывать пароли, вводимые в любые поля, включая защищённые (HTTPS), так как перехват происходит до шифрования.
Перехват через вредоносное ПО (инфостилеры)
Инфостилеры (от англ. info stealer) — класс вредоносных программ, предназначенных для кражи учётных данных, сохранённых в браузерах, менеджерах паролей, FTP-клиентах, почтовых программах и других приложениях. Они извлекают пароли из локальных баз данных (например, SQLite-файлов браузеров), файлов конфигурации или памяти процессов. Примеры: RedLine, Vidar, Raccoon Stealer. Инфостилеры часто распространяются через фишинговые письма, взломанные сайты или пиратское ПО.
Фишинг с перехватом
Фишинговые атаки (от англ. phishing) включают создание поддельных страниц, имитирующих интерфейсы аутентификации легитимных сервисов (банков, соцсетей, почты). Жертва вводит учётные данные, которые перехватываются и отправляются злоумышленнику. Для маскировки используются похожие доменные имена (например, go0gle.com вместо google.com) или подмена URL через JavaScript. Современные фишинговые страницы могут использовать SSL-сертификаты (HTTPS) для создания видимости безопасности.
Уязвимые системы и протоколы
Атаки перехвата паролей наиболее эффективны против систем, где:
- учётные данные передаются без шифрования (HTTP, FTP, Telnet, SMTP, POP3);
- используются устаревшие или слабые криптографические алгоритмы (RC4, MD5, SHA-1);
- отсутствует проверка сертификатов (самоподписанные сертификаты, игнорирование ошибок SSL);
- применяются протоколы аутентификации с уязвимостями (NTLMv1, LM-хеши);
- пароли хранятся в открытом виде или с обратимым шифрованием в памяти/файлах.
Методы защиты
Для предотвращения атак перехвата паролей применяются:
- Шифрование канала передачи — использование протоколов HTTPS (TLS 1.2/1.3), SSH, SFTP, SMTPS. Важно отключить поддержку устаревших версий (SSL 2.0/3.0, TLS 1.0/1.1) и слабых шифров.
- Аутентификация с подтверждением — многофакторная аутентификация (MFA), одноразовые пароли (OTP), биометрические данные.
- Защита от MITM — проверка сертификатов (Certificate Pinning), использование HSTS (HTTP Strict Transport Security), DNSSEC.
- Защита от сниффинга — сегментация сети (VLAN), использование VPN, шифрование Wi-Fi (WPA3), отключение неиспользуемых протоколов (ARP-spoofing можно блокировать статическими ARP-записями или DAI — Dynamic ARP Inspection).
- Защита от кейлоггинга — использование виртуальных клавиатур, менеджеров паролей с автозаполнением (не вводят символы через клавиатуру), антивирусное ПО с модулями защиты от кейлоггеров.
- Обучение пользователей — распознавание фишинговых страниц, отказ от ввода паролей на подозрительных сайтах, использование уникальных паролей для каждого сервиса.
Примеры известных атак
- Атака на протокол NTLM (2017) — уязвимость в реализации NTLM в Windows позволяла перехватывать хеши паролей при аутентификации через SMB и передавать их на другие серверы (NTLM relay). Использовалась в атаках на корпоративные сети.
- SSL-stripping в публичных Wi-Fi (2010-е) — злоумышленники в аэропортах и кафе с помощью инструмента sslstrip (разработан Мокси Марлинспайком) понижали HTTPS-соединения до HTTP, перехватывая пароли от почты и соцсетей.
- Атака на менеджер паролей LastPass (2022) — через уязвимость в браузерном расширении злоумышленники получили доступ к хранящимся паролям, перехватив их из памяти процесса.
- Фишинговая кампания с использованием поддельных страниц Google (2023) — злоумышленники создали сайт с доменом g00gle.com, имитирующий страницу входа, и перехватывали пароли пользователей через SSL-сертификат от Let’s Encrypt.
Правовые аспекты
В Российской Федерации атаки перехвата паролей квалифицируются как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) или создание, использование и распространение вредоносных программ (ст. 273 УК РФ). Ответственность предусматривает штрафы, исправительные работы или лишение свободы до 7 лет (при отягчающих обстоятельствах). Использование инструментов сниффинга и MITM-атак без согласия владельца сети или системы является уголовно наказуемым деянием. Организации, признанные экстремистскими или террористическими в РФ, не могут легально проводить такие атаки; их деятельность запрещена.
Источники
- Криптография и безопасность сетей — У. Столлингс, 2017.
- The Web Application Hacker's Handbook — D. Stuttard, M. Pinto, 2011.
- SSL/TLS и атаки на протоколы — И. Мусиенко, 2019.
- Уголовный кодекс РФ, статьи 272, 273.
- Документация OWASP по атакам MITM — Open Web Application Security Project, 2023.
- Отчёты Positive Technologies по киберугрозам — 2020–2024.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →