Открыть сервис

Атака перехвата паролей

Атака перехвата паролей — это класс методов несанкционированного доступа к учётным данным пользователя (логинам и паролям), реализуемый путём перехвата, копирования или анализа трафика, вводимых данных или хранящейся информации в процессе аутентификации. Такие атаки направлены на компрометацию учётных записей в информационных системах, включая веб-сервисы, корпоративные сети, базы данных и локальные приложения. В отличие от атак, основанных на подборе паролей (брутфорс) или социальной инженерии, перехват предполагает пассивное или активное вмешательство в каналы передачи данных без непосредственного взаимодействия с жертвой.

История и развитие

Первые упоминания о перехвате паролей относятся к эпохе ранних компьютерных сетей (1960–1970-е годы), когда протоколы передачи данных, такие как Telnet и FTP, передавали учётные данные в открытом виде (plaintext). В 1980-х годах с распространением локальных сетей (Ethernet) стали возможны атаки на уровне протокола ARP (ARP-spoofing), позволяющие перехватывать пакеты между узлами. В 1990-х годах развитие Интернета привело к появлению специализированных инструментов для сниффинга трафика, например, tcpdump (1987) и Wireshark (1998, первоначально Ethereal). С внедрением шифрования (SSL/TLS в 1994–1995 годах) классический перехват стал менее эффективным, но появились новые методы, такие как SSL-stripping и атаки «человек посередине» (Man-in-the-Middle, MITM). В 2010-х годах акцент сместился на перехват паролей через вредоносное ПО (кейлоггеры, инфостилеры) и фишинговые страницы, а также на атаки на протоколы аутентификации (например, NTLM relay).

Классификация атак перехвата паролей

Атаки перехвата паролей делятся по способу получения данных, типу целевого канала и используемым технологиям.

По способу перехвата

  • Пассивный перехват (сниффинг)мониторинг сетевого трафика без изменения его содержимого. Злоумышленник прослушивает канал передачи данных (локальная сеть, Wi-Fi, интернет-канал) и извлекает из пакетов учётные данные, если они не зашифрованы или передаются с уязвимым шифрованием. Примеры: перехват HTTP-трафика, перехват паролей в открытых Wi-Fi-сетях.
  • Активный перехват (MITM) — злоумышленник внедряется в канал связи между клиентом и сервером, перехватывая и модифицируя передаваемые данные. Включает ARP-spoofing, DNS-spoofing, SSL-stripping и атаки на протоколы аутентификации (например, SMB relay). В результате злоумышленник может не только перехватить пароль, но и подменить его или перенаправить аутентификацию на подконтрольный сервер.
  • Перехват на стороне клиента — получение паролей из памяти процессов, файлов подкачки, кэша браузера или логов ввода. Реализуется с помощью вредоносного ПО (кейлоггеры, инфостилеры, трояны удалённого доступа) или эксплуатации уязвимостей в операционной системе и приложениях.
  • Перехват на стороне сервера — компрометация серверной инфраструктуры (баз данных, логов аутентификации, файлов конфигурации) для извлечения хранящихся паролей. Часто сочетается с атаками на хеши паролей (например, радужные таблицы, атаки по словарю).

По типу целевого канала

  • Сетевой перехват — перехват трафика на уровне IP-пакетов (сниффинг) или протоколов прикладного уровня (HTTP, FTP, SMTP, Telnet).
  • Локальный перехват — перехват данных на уровне операционной системы (кейлоггинг, дамп памяти, чтение файлов).
  • Перехват через сторонние сервисы — компрометация учётных данных через уязвимости в облачных сервисах, API или системах единого входа (SSO).

По используемым технологиям

  • Атаки на протоколы без шифрования — перехват паролей, передаваемых в открытом виде (HTTP, FTP, Telnet, POP3).
  • Атаки на протоколы с уязвимым шифрованием — эксплуатация слабостей в SSL/TLS (например, атака POODLE, атака на RC4), перехват с подменой сертификатов.
  • Атаки на хеши паролей — перехват хешей (NTLM, LM, SHA-1) с последующим восстановлением исходного пароля методами брутфорса, радужных таблиц или атаки по словарю.
  • Фишинговые атаки с перехватом — создание поддельных страниц аутентификации, которые перехватывают введённые учётные данные и передают их злоумышленнику.

Методы реализации

Сниффинг трафика

Сниффинг (от англ. sniff — нюхать) — пассивный метод, при котором злоумышленник подключается к сегменту сети (например, через Wi-Fi или Ethernet) и с помощью специализированного программного обеспечения (Wireshark, tcpdump, Cain & Abel) захватывает все проходящие пакеты. Если протокол не шифрует данные (HTTP, FTP, Telnet), пароль извлекается из поля данных пакета в читаемом виде. В современных сетях с шифрованием (HTTPS, SSH) сниффинг малоэффективен, если не скомпрометированы сертификаты или не используются уязвимые версии протоколов.

Атака «человек посередине» (MITM)

MITM-атака предполагает активное вмешательство в канал связи. Злоумышленник перехватывает запрос клиента, модифицирует его и пересылает серверу, а ответ сервера — клиенту. Для этого используются:

  • ARP-spoofing — подмена ARP-таблиц в локальной сети, чтобы трафик между двумя узлами проходил через устройство злоумышленника.
  • DNS-spoofing — подмена DNS-записей, чтобы перенаправить запрос клиента на подконтрольный сервер.
  • SSL-stripping — понижение версии протокола с HTTPS до HTTP путём перехвата первоначального запроса и замены защищённого соединения на незащищённое. Впервые описан исследователем Мокси Марлинспайком в 2009 году.
  • Атака на протокол NTLM (NTLM relay) — перехват хеша NTLM при аутентификации в Windows-сетях и его передача на другой сервер для получения доступа.

Кейлоггинг

Кейлоггеры (от англ. keylogger) — программы или аппаратные устройства, записывающие нажатия клавиш на клавиатуре. Данные могут сохраняться локально или передаваться злоумышленнику через сеть. Кейлоггеры могут быть встроены в операционную систему (драйверы клавиатуры), в браузерные расширения или в виде вредоносного ПО (трояны). Аппаратные кейлоггеры подключаются к разъёму клавиатуры (PS/2, USB) или встраиваются в корпус устройства. Кейлоггинг позволяет перехватывать пароли, вводимые в любые поля, включая защищённые (HTTPS), так как перехват происходит до шифрования.

Перехват через вредоносное ПО (инфостилеры)

Инфостилеры (от англ. info stealer) — класс вредоносных программ, предназначенных для кражи учётных данных, сохранённых в браузерах, менеджерах паролей, FTP-клиентах, почтовых программах и других приложениях. Они извлекают пароли из локальных баз данных (например, SQLite-файлов браузеров), файлов конфигурации или памяти процессов. Примеры: RedLine, Vidar, Raccoon Stealer. Инфостилеры часто распространяются через фишинговые письма, взломанные сайты или пиратское ПО.

Фишинг с перехватом

Фишинговые атаки (от англ. phishing) включают создание поддельных страниц, имитирующих интерфейсы аутентификации легитимных сервисов (банков, соцсетей, почты). Жертва вводит учётные данные, которые перехватываются и отправляются злоумышленнику. Для маскировки используются похожие доменные имена (например, go0gle.com вместо google.com) или подмена URL через JavaScript. Современные фишинговые страницы могут использовать SSL-сертификаты (HTTPS) для создания видимости безопасности.

Уязвимые системы и протоколы

Атаки перехвата паролей наиболее эффективны против систем, где:

  • учётные данные передаются без шифрования (HTTP, FTP, Telnet, SMTP, POP3);
  • используются устаревшие или слабые криптографические алгоритмы (RC4, MD5, SHA-1);
  • отсутствует проверка сертификатов (самоподписанные сертификаты, игнорирование ошибок SSL);
  • применяются протоколы аутентификации с уязвимостями (NTLMv1, LM-хеши);
  • пароли хранятся в открытом виде или с обратимым шифрованием в памяти/файлах.

Методы защиты

Для предотвращения атак перехвата паролей применяются:

  • Шифрование канала передачи — использование протоколов HTTPS (TLS 1.2/1.3), SSH, SFTP, SMTPS. Важно отключить поддержку устаревших версий (SSL 2.0/3.0, TLS 1.0/1.1) и слабых шифров.
  • Аутентификация с подтверждениеммногофакторная аутентификация (MFA), одноразовые пароли (OTP), биометрические данные.
  • Защита от MITM — проверка сертификатов (Certificate Pinning), использование HSTS (HTTP Strict Transport Security), DNSSEC.
  • Защита от сниффинга — сегментация сети (VLAN), использование VPN, шифрование Wi-Fi (WPA3), отключение неиспользуемых протоколов (ARP-spoofing можно блокировать статическими ARP-записями или DAI — Dynamic ARP Inspection).
  • Защита от кейлоггинга — использование виртуальных клавиатур, менеджеров паролей с автозаполнением (не вводят символы через клавиатуру), антивирусное ПО с модулями защиты от кейлоггеров.
  • Обучение пользователей — распознавание фишинговых страниц, отказ от ввода паролей на подозрительных сайтах, использование уникальных паролей для каждого сервиса.

Примеры известных атак

  • Атака на протокол NTLM (2017) — уязвимость в реализации NTLM в Windows позволяла перехватывать хеши паролей при аутентификации через SMB и передавать их на другие серверы (NTLM relay). Использовалась в атаках на корпоративные сети.
  • SSL-stripping в публичных Wi-Fi (2010-е) — злоумышленники в аэропортах и кафе с помощью инструмента sslstrip (разработан Мокси Марлинспайком) понижали HTTPS-соединения до HTTP, перехватывая пароли от почты и соцсетей.
  • Атака на менеджер паролей LastPass (2022) — через уязвимость в браузерном расширении злоумышленники получили доступ к хранящимся паролям, перехватив их из памяти процесса.
  • Фишинговая кампания с использованием поддельных страниц Google (2023) — злоумышленники создали сайт с доменом g00gle.com, имитирующий страницу входа, и перехватывали пароли пользователей через SSL-сертификат от Let’s Encrypt.

Правовые аспекты

В Российской Федерации атаки перехвата паролей квалифицируются как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) или создание, использование и распространение вредоносных программ (ст. 273 УК РФ). Ответственность предусматривает штрафы, исправительные работы или лишение свободы до 7 лет (при отягчающих обстоятельствах). Использование инструментов сниффинга и MITM-атак без согласия владельца сети или системы является уголовно наказуемым деянием. Организации, признанные экстремистскими или террористическими в РФ, не могут легально проводить такие атаки; их деятельность запрещена.

Источники

  1. Криптография и безопасность сетей — У. Столлингс, 2017.
  2. The Web Application Hacker's Handbook — D. Stuttard, M. Pinto, 2011.
  3. SSL/TLS и атаки на протоколы — И. Мусиенко, 2019.
  4. Уголовный кодекс РФ, статьи 272, 273.
  5. Документация OWASP по атакам MITM — Open Web Application Security Project, 2023.
  6. Отчёты Positive Technologies по киберугрозам — 2020–2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →