Wat is een brutekrachtaanval?

Brutekrachtaanvallen begrijpen

Een brutekrachtaanval is als bonzen op een gesloten deur totdat deze eindelijk bezwijkt. Pure volharding wint het uiteindelijk van finesse. Hackers die deze aanvalsvorm gebruiken, hanteren een trial-and-error-aanpak om wachtwoorden te raden, gevoelige gegevens te ontsleutelen of in te breken in beveiligde systemen, websites of netwerken.

Een aanvaller kan bijvoorbeeld beginnen met veelgebruikte woorden of persoonlijke gegevens (bijvoorbeeld de naam van uw eerste huisdier: Fluffy) en vervolgens variaties met cijfers of symbolen testen totdat ze de juiste combinatie vinden (Fluffy123).

Hoewel brute kracht een van de oudste trucs in het hackers-handboek is, blijft het verontrustend effectief. Moderne aanvallers versnellen het proces met gespecialiseerde tools zoals Hashcat, waarmee ze in enkele seconden miljoenen wachtwoordcombinaties kunnen testen.

Deze aanvallen slagen het vaakst tegen zwakke of hergebruikte wachtwoorden. Daarom zijn sterke, unieke aanmeldingsgegevens (en gelaagde bescherming) uw beste verdediging.

Wachtwoorden met een mix van tekens (kleine letters en hoofdletters, symbolen en cijfers) zijn moeilijker voor hackers om te kraken.

Soorten brutekrachtaanvallen

De term komt voort uit het feit dat aanvallers vertrouwen op de pure kracht van spervuurpogingen om in systemen in te breken en gevoelige gegevens te stelen. Het is een van de meest voorkomende vormen van het kraken van wachtwoorden, en hackers gebruiken verschillende varianten van de aanval.

Eenvoudige brutekrachtaanvallen

Vereisten: tijd, volharding en zwakke wachtwoorden.

Bij een eenvoudige brutekrachtaanval probeert een hacker handmatig en systematisch de aanmeldingsgegevens van een gebruiker te raden zonder op geautomatiseerde tools te vertrouwen. Het is het digitale equivalent van elke sleutel op een enorme sleutelbos proberen totdat er een in het slot past.

Aanvallers beginnen meestal met de meest voor de hand liggende en veelgebruikte keuzes, zoals '1234', 'qwerty' of 'wachtwoord123'. Sommigen doen zelfs licht onderzoek, zoals social media scannen op persoonlijke gegevens (de naam van een huisdier, een verjaardag of de meisjesnaam van een moeder) om zo beter onderbouwde poging te wagen.

De effectiefste verdediging is het gebruik van lange, complexe en unieke wachtwoorden. Door het aantal mogelijke combinaties dramatisch te verhogen, maken deze wachtwoorden brutekrachtpogingen traag, onpraktisch en zelden de moeite waard. Korte of voorspelbare wachtwoorden zijn daarentegen gemakkelijke doelwitten en bieden hackers een snelle overwinning.

Woordenlijstaanvallen

Vereisten: vooraf samengestelde woordenlijsten, tijd en zwakke wachtwoorden.

In tegenstelling tot een pure brutekrachtaanval die elke mogelijke combinatie probeert, vertrouwt een woordenlijstaanval op vooraf samengestelde lijsten met woorden en variaties die vaak als wachtwoord worden gebruikt. Zie het als door een woordenboek bladeren: telkens een nieuw woord proberen totdat het juiste woord het account ontgrendelt.

Aanvallers verbeteren deze lijsten vaak met voorspelbare variaties, zoals letters omruilen voor cijfers of speciale tekens toevoegen. Hoewel het meer denkwerk vereist dan alleen brute kracht, wordt het vaak gecombineerd met brutekrachtmethoden om het raadproces te versnellen.

Woordenlijstaanvallen zijn trager en minder effectief tegen sterke, unieke wachtwoordzinnen. Als uw wachtwoord niet voorkomt in veelgebruikte woordenlijsten en niet is gekoppeld aan persoonlijke informatie (zoals namen van huisdieren of verjaardagen), hebben aanvallers die deze methode gebruiken veel minder kans op succes.

Hybride brutekrachtaanvallen

Vereisten: vooraf samengestelde woordenlijsten, tijd en voorspelbare wachtwoorden.

Een hybride brutekrachtaanval combineert de methoden van een woordenlijstaanval met de volharding van pure brute kracht. Hackers beginnen doorgaans met een bekende gebruikersnaam, doorlopen vervolgens een woordenlijst met waarschijnlijke woorden (zoals namen, zinnen of locaties) en eindigen door voorspelbare combinaties van cijfers, datums of symbolen toe te voegen.

Veelgebruikte technieken zijn:

• Een woordenlijstwoord zoals 'wachtwoord' nemen en het licht wijzigen om 'w@chtwOord' te creëren.

• Woorden combineren met cijfers of symbolen, zoals 'Youaremine2023'.

• Wachtwoorden hergebruiken die bij gegevensinbreuken zijn gelekt om te zien of ze nog steeds werken voor andere accounts.

Door giswerk te combineren met patroonherkenning, kan deze methode wachtwoorden kraken die te complex zijn voor eenvoudige woordenlijstaanvallen, maar te voorspelbaar om weerstand te bieden aan brute kracht. Wachtwoorden die echte woorden combineren met voor de hand liggende toevoegingen zijn bijzonder kwetsbaar.

Omgekeerde brutekrachtaanvallen

Vereisten: lijsten met gebruikersaccounts en hergebruikte wachtwoorden.

Een omgekeerde brutekrachtaanval draait de traditionele methode om. In plaats van op één gebruikersnaam te hameren met eindeloze wachtwoordgissingen, nemen aanvallers één zwak wachtwoord, zoals '123456' of 'wachtwoord', en testen het op een enorme lijst met gebruikersnamen. Met voldoende accounts is de kans groot dat ten minste iemand het geselecteerde wachtwoord gebruikt.

Hackers vertrouwen vaak op gegevensinbreuken voor deze gebruikersnamenlijsten. Gelekte databases kunnen duizenden (of zelfs miljoenen) accounts bevatten, waardoor aanvallers ruim de mogelijkheid hebben om toe te slaan. Het gevaar wordt groter wanneer mensen hetzelfde zwakke wachtwoord op meerdere platforms hergebruiken. Eén gecompromitteerde aanmelding kan leiden tot meerdere accountovernames, als een rij vallende dominostenen.

Credential stuffing

Vereisten: gestolen aanmeldingsgegevens en hergebruikte wachtwoorden.

Credential stuffing is een gestroomlijnde, geautomatiseerde aanval die inspeelt op mensen die dezelfde aanmeldingsgegevens op meerdere accounts hergebruiken. In plaats van wachtwoorden te raden, nemen hackers gestolen gebruikersnamen en wachtwoorden, vaak gelekt bij gegevensinbreuken, en stoppen ze die in andere sites en apps ('stuffing') om te zien waar ze nog meer werken.

Omdat zoveel gebruikers aanmeldingsgegevens hergebruiken, is deze slinkse variant op brutekrachtaanvallen zowel snel als zeer effectief. Aanvallers gebruiken bots om duizenden aanmeldingscombinaties in enkele minuten te testen, waarbij ze vaak ongemerkt langs eenvoudige beveiligingssystemen glippen.

Sterke wachtwoorden zijn kryptoniet voor brutekrachtaanvallen, en het beheer hiervan is veel gemakkelijker met de juiste tool. AVG BreachGuard heeft een ingebouwd wachtwoordmanager en beveiligde kluis om uw aanmeldingen te beschermen en gesynchroniseerd te houden op al uw apparaten. Het helpt u niet alleen beschermen tegen cyberaanvallen, maar bespaart u ook het gedoe met e-mails voor het opnieuw instellen van wachtwoorden.

Veelvoorkomende doelen van brutekrachtaanvallen

Er zijn veel redenen waarom hackers computersystemen en databases proberen te kraken met brutekrachtaanvallen. Meestal zijn ze uit op snel geld of willen ze paniek en chaos veroorzaken. Anderen worden gedreven door hun ego.

Persoonlijke gegevens stelen
Door wachtwoorden te kraken, hebben aanvallers toegang tot gevoelige gegevens zoals e-mails, adressen, financiële gegevens en identificatienummers. Deze informatie is zeer waardevol voor identiteitsdiefstal, wederverkoop op het dark web of het lanceren van bredere aanvallen. Inbreuken bij bedrijven zijn bijzonder lucratief en geven hackers toegang tot grote databases met klant- en bedrijfsgegevens.

Financieel gewin
Het einddoel is vaak winst. Eenmaal binnen kunnen aanvallers bankrekeningen leeghalen, betalingssystemen misbruiken of fraude plegen met gestolen aanmeldingsgegevens. Sommigen kapen ook websites met spam-advertenties om advertentie-inkomsten te verzamelen of de surfgegevens van slachtoffers aan marketeers te verkopen.

Malware verspreiden
Gecompromitteerde systemen kunnen worden gebruikt om malware, ransomware of achterdeurtjes te implementeren voor grotere aanvallen via vervalste e-mails, sms-berichten of nepsites die zijn ontworpen om legitieme sites na te bootsen. In sommige gevallen is het motief simpelweg chaos, of het zou kunnen zijn om vaardigheden te testen of bekwaamheid te bewijzen.

De reputatie van een bedrijf schaden
Gelekte klantgegevens, downtime, publieke blootstelling... Een geslaagde brutekrachtaanval is een PR-nachtmerrie en kan ernstige gevolgen hebben voor bedrijven. Het is een ideaal wapen voor hackers die geloofwaardigheid willen ondermijnen en het imago van een merk willen beschadigen.

Brutekrachtaanvallen in actie

Zoals bij elke cyberaanval is niemand immuun. In 2018 werd het Noord-Ierse parlement gecompromitteerd door een brutekrachtaanval toen cybercriminelen de e-mailaccounts van parlementsleden hackten door herhaaldelijk wachtwoorden te raden. Ze hebben toegang gekregen tot vertrouwelijke gegevens en zelfs accounts verwijderd, wat aanzienlijke verstoring veroorzaakte.

Zelfs de grootste online spelers zijn niet onaantastbaar. In 2016 werd Alibaba het slachtoffer van een brutekrachtaanval die de gebruikersnamen en wachtwoorden van 99 miljoen gebruikers blootlegde. En de dreiging neemt alleen maar toe. Volgens het Elastic Global Threat Report van 2024 zijn brutekrachttechnieken het afgelopen jaar met 12% gestegen en goed voor bijna 35% van alle aanvalsmethoden in Microsoft Azure.

Tools en technologieën gebruikt bij brutekrachtaanvallen

Brutekrachtaanvallen gaan niet langer alleen over eindeloos, gedachteloos raden. Moderne hackers hebben hun methoden verfijnd en combineren strategie met geavanceerde tools om het proces sneller, slimmer en veel gevaarlijker te maken.

Populaire programma's zoals Aircrack-ng, John the Ripper en Hashcat automatiseren het trial-and-error-proces met ongelooflijke snelheden. Deze tools kunnen door enorme lijsten met wachtwoorden razen en zelfs complexe combinaties testen die mensen eeuwen zouden kosten om handmatig te raden. Automatisering verwijdert de limieten van geduld en schaal, waardoor aanvallers kunnen opereren als digitale superschurken.

Maar deze geavanceerde brutekrachtaanvallen vereisen enorme rekenkracht. Om ze te versnellen, combineren hackers de rauwe kracht van CPU's met de parallelle verwerkingskracht van GPU's. GPU's, oorspronkelijk gebouwd voor grafisch zware taken zoals games of video's renderen, kunnen duizenden wachtwoordgissingen tegelijkertijd verwerken. Deze hybride opstelling verkort de benodigde tijd om in accounts in te breken drastisch.

Met automatisering bovenop GPU-kracht zijn brutekrachtaanvallen verschoven van traag, handmatig werk naar georganiseerde, grootschalige aanvallen. Hackers kunnen inmiddels talloze accounts tegelijk aanvallen en zwakke wachtwoorden in een mum van tijd breken.

En brutekrachtaanvallen zijn slechts één voorbeeld van hoe cybercriminaliteit evolueert naar een sneller, efficiënter beest. Elke dag innoveren aanvallers: er zijn nu naar schatting 190.000 nieuwe malware-aanvallen per seconde.

Hoe u brutekrachtaanvallen kunt helpen stoppen

Brutekrachtaanvallen vertrouwen op volharding, maar de juiste verdediging kan ze tegenhouden. Hier leest u hoe u uw accounts en gegevens stevig op slot houdt:

• Complexe wachtwoorden maken: Kies unieke en sterke wachtwoorden met ten minste 15 willekeurige tekens, idealiter meer.

• Een wachtwoordzin gebruiken: nog beter is het om wachtwoordzinnen te gebruiken. Dit zijn goed te onthouden zinnen van meerdere woorden die veel moeilijker te kraken zijn. Vermijd veelgebruikte keuzes of alles wat persoonlijk met u te maken heeft, zoals uw favoriete team of geboorteplaats.

• Een wachtwoordmanager gebruiken: een wachtwoordmanager genereert sterke, unieke wachtwoorden en slaat ze veilig op in een versleutelde kluis. Met automatisch invullen en synchroniseren van apparaten maakt het ook alledaagse aanmeldingen sneller en veiliger.

• 2FA of MFA gebruiken: Tweeledige authenticatie (2FA) of meervoudige verificatie (MFA) voegt een extra slot toe aan uw accounts. Of het nu een eenmalige sms-code is, een authenticator-app of een vingerafdrukscan, deze extra stap houdt aanvallers buiten, zelfs als ze uw wachtwoord raden.

• Aanmeldingspogingen beperken en CAPTCHA gebruiken: het beperken van aanmeldingspogingen en het toevoegen van CAPTCHA maakt het veel moeilijker voor geautomatiseerde bots om met brute kracht in accounts in te breken.

• Gegevens beschermen met salting en hashing: hashing transformeert een wachtwoord in een onomkeerbare reeks tekens, terwijl salting een willekeurig, uniek element toevoegt voor hashing. Samen maken ze gestolen gegevens veel resistenter tegen ontsleuteling.

• Accounts controleren op verdachte activiteit: stel waarschuwingen of monitoring in voor ongebruikelijke aanmeldingen, mislukte pogingen of onverwachte transacties. Het vroegtijdig opmerken van waarschuwingssignalen kan u helpen brutekrachtpogingen te stoppen voordat ze schade aanrichten.

Help brutekrachtaanvallen te voorkomen met AVG BreachGuard

Van wachtwoordbeheer tot realtime monitoring en analyse, AVG BreachGuard helpt uw gevoelige gegevens te beschermen tegen brutekrachtaanvallen en andere cyberbedreigingen. Naast het maken en opslaan van sterke, unieke aanmeldingen, scant het continu het internet op blootgestelde persoonlijke gegevens en waarschuwt het u mogelijk voor lekken voordat criminelen ze kunnen misbruiken. Neem vandaag nog de controle over uw online beveiliging.