O sequestro de contas é um cenário de pesadelo para qualquer pessoa. O fato de outra pessoa ter acesso às suas finanças ou aos seus dados mais confidenciais é extremamente estressante e pode afetar toda a sua vida. Imagine que alguém esvazie sua conta bancária ou use cartões de crédito em seu nome.
As pessoas têm o ônus de garantir que estejam protegidas e não sejam vítimas de ataques de preenchimento de credenciais. A configuração de senhas fortes e exclusivas e o monitoramento rigoroso de seus dados são essenciais para se proteger de ataques.
O que é credential stuffing?
O preenchimento de credenciais é quando os criminosos usam nomes de usuário e senhas roubados (geralmente coletados de violações de dados anteriores) para tentar invadir contas on-line. Como muitas pessoas reutilizam senhas em diferentes plataformas, um login geralmente concede acesso a várias contas. É exatamente com isso que os hackers contam para atingir seus alvos.
Os criminosos cibernéticos usam ferramentas automatizadas ou "bots" para disparar milhares de tentativas de login de uma só vez, atingindo o maior número possível de sites.
Esses bots são rápidos e programados para imitar o comportamento humano real, o que os torna mais difíceis de detectar e bloquear. Apenas uma conta invadida pode levar ao roubo de dinheiro e de identidade.
Como funcionam os ataques de preenchimento de credenciais
O processo de credential stuffing significa adquirir dados roubados e usá-los para tentar acessar contas em bancos e outros sites seguros. Os hackers encontram (ou compram) dados pessoais e, em seguida, automatizam o processo de tentativas de login para tentar entrar nas contas.
Coleta de dados
Tudo começa com dados roubados. Os hackers nem sempre precisam invadir um site para obter senhas, pois já existem muitas delas circulando pela Internet. Muitas credenciais roubadas acabam na dark web, uma parte oculta da Internet onde os criminosos cibernéticos podem comprar e vender dados hackeados.
Essas credenciais de login geralmente vêm de violações de dados anteriores e são livremente negociadas ou vendidas em grandes lotes.
Algumas coleções, como a infame "Collection #1-5", contêm bilhões de nomes de usuário e senhas. É uma mina de ouro para os criminosos cibernéticos, e tudo o que é preciso é uma correspondência em outra plataforma.
Tentativas de login automatizadas
Depois que os hackers têm seu estoque de credenciais roubadas, a próxima etapa é testá-las. É aí que entra a automação.
Os invasores lançam tentativas de login em larga escala em vários sites, verificando se alguma das combinações roubadas ainda funciona. Esses bots são inteligentes e alguns usam navegadores sem cabeça (um navegador da Web que é executado sem uma interface gráfica de usuário, em segundo plano e é controlado programaticamente, normalmente para tarefas automatizadas) ou alternam endereços IP na tentativa de evitar a detecção. Eles até mesmo adicionam atrasos entre as tentativas de login para enganar os sistemas e fazê-los pensar que é um usuário normal que está fazendo login, evitando suspeitas ou protocolos de segurança.
Aquisição de conta
Quando as credenciais coincidem e o login é bem-sucedido, os hackers obtêm controle total da conta, por exemplo, a conta de e-mail.
A partir daí, eles podem tentar drenar contas bancárias, roubar dados privados ou até mesmo bloquear o verdadeiro proprietário. Os hackers têm abordagens diferentes, dependendo de quais contas eles podem assumir o controle. Se não conseguirem entrar em seu banco e esvaziá-lo, eles ainda poderão usar o acesso à conta de e-mail para outros crimes, como o envio de mensagens de phishing para outras contas para hackeá-las também. Eles também podem vender contas comprometidas a outros criminosos. Em resumo, um único login bem-sucedido pode se transformar em uma bagunça para o usuário.
Preenchimento de credenciais vs. força bruta vs. pulverização de senhas
Todos esses três tipos de ataque têm como alvo as senhas, mas os métodos são diferentes.
Recheio de credenciais
O preenchimento de credenciais se baseia em senhas reais e previamente roubadas. Os hackers não estão adivinhando, eles estão usando dados existentes. O sucesso do ataque depende de quantas pessoas reutilizaram suas senhas em várias plataformas.
Ataques de força bruta
A força bruta é mais um jogo de adivinhação. O invasor tenta combinações aleatórias de senhas repetidas vezes até que uma delas funcione. É automatizado, mas é um método mais lento e mais fácil de detectar, pois geralmente envolve muitas tentativas fracassadas do mesmo endereço IP.
Pulverização de senha
A pulverização de senhas é uma mistura entre força bruta e preenchimento de credenciais. Os hackers tentam senhas comuns, como "password123" ou "123456", em um grande número de contas, como as que foram encontradas na Collection #1. Esse método é sorrateiro porque evita sistemas de detecção que sinalizam repetidas tentativas fracassadas em uma única conta.
Por que o preenchimento de credenciais é uma ameaça crescente
O preenchimento de credenciais está piorando. Um dos motivos é a enorme quantidade de credenciais roubadas disponíveis on-line. Coleções como as mencionadas anteriormente oferecem aos invasores um suprimento infinito de possíveis logins para testar e alimentar seus sistemas. Enquanto as pessoas continuarem reutilizando senhas, o risco continuará alto.
Outro problema é a tecnologia por trás desses ataques. Os bots estão ficando mais avançados.
Ferramentas como navegadores sem cabeça permitem que eles se comportem como usuários reais, e a falsificação de IP os ajuda a se esquivar dos sistemas de detecção. Ao integrar plug-ins e personalizar os navegadores, os invasores podem ajustá-los para tentar imitar o comportamento do usuário. Alguns bots podem até mesmo resolver desafios CAPTCHA ou imitar os movimentos do mouse. Para combater isso, os sites podem usar a impressão digital do dispositivo, que rastreia o navegador do usuário, o tipo de dispositivo e os padrões de comportamento para detectar logins suspeitos e bloquear ataques automatizados.
Além disso, o número de contas on-line explodiu. A maioria de nós tem dezenas de logins. Isso significa mais alvos para os invasores tentarem a sorte e mais locais em potencial para o roubo de credenciais.
Os hábitos de senha não acompanharam as ameaças. Muitas pessoas ainda usam senhas simples e fáceis de adivinhar ou a mesma senha em vários sites. 84% dos usuários, de acordo com um estudo, estão usando senhas arriscadas para contas on-line. Basta uma violação e, de repente, um hacker tem acesso a tudo, de e-mails a contas financeiras.
Exemplos reais de ataques de preenchimento de credenciais
O preenchimento de credenciais não é apenas uma ameaça teórica. Ela já causou o caos para alguns grandes nomes em diferentes setores.
Um exemplo de alto perfil envolveu o HSBC Bank, onde os invasores usaram logins roubados para acessar as contas dos clientes. Essa violação permitiu o acesso não autorizado a dados financeiros e a empresa teve que suspender todo o seu processo de login on-line enquanto as coisas eram resolvidas. Cerca de 14.000 clientes foram afetados.
No Reddit, os usuários se viram repentinamente bloqueados em suas contas depois que uma onda de ataques de preenchimento de credenciais atingiu a plataforma. O Reddit teve que pedir aos usuários que redefinissem suas senhas para que pudessem acessar suas contas.
Outro caso significativo veio da TurboTax, onde os invasores usaram credenciais roubadas para acessar informações fiscais em um ataque em 2019. Não se tratava apenas de nomes de usuário e senhas, pois, uma vez dentro, os criminosos podiam acessar os números do seguro social e outros dados pessoais confidenciais.
A Nintendo também sofreu uma violação maciça em que milhares de contas de Nintendo Network ID foram comprometidas. Os invasores conseguiram invadir as contas usando credenciais reutilizadas, o que resultou em compras não autorizadas e preocupações com a privacidade dos jogadores. Um grande número de 300.000 contas foi comprometido.
O impacto do preenchimento de credenciais
Os ataques de preenchimento de credenciais podem levar a grandes problemas. É possível que as vítimas sejam bloqueadas em suas contas e que o dinheiro seja roubado diretamente ou por meio de outros métodos fraudulentos, como a solicitação de cartões de crédito usando seus dados.
Perda financeira
Uma das consequências mais imediatas e visíveis de um ataque de preenchimento de credenciais é o prejuízo financeiro que ele pode causar. Quando um invasor obtém acesso a uma conta bancária ou de pagamento, não demora muito para que os fundos comecem a desaparecer.
As vítimas geralmente enfrentam semanas de idas e vindas com seus bancos ou operadoras de cartão apenas para resolver a confusão e tentar recuperar o dinheiro. Isso pode causar um estresse imenso.
Roubo de identidade
Além do dinheiro, o preenchimento de credenciais abre a porta para algo ainda mais perigoso: o roubo de identidade.
Se os invasores conseguirem obter detalhes pessoais suficientes, eles poderão se passar por outra pessoa. Eles podem solicitar novas contas ou até mesmo cometer fraudes e outros crimes usando o nome de outra pessoa. Os danos causados pelo roubo de identidade podem acompanhar a pessoa por anos e, muitas vezes, levam muito tempo para serem totalmente resolvidos.
Invasão de Privacy
Há também a questão do espaço pessoal. Quando os invasores invadem uma conta, eles não veem apenas números e senhas, eles obtêm acesso a detalhes privados. Coisas como fotos particulares e dados pessoais podem ser vazados. Isso é uma grave invasão de privacidade. A ideia de que alguém pode navegar por conversas ou arquivos sem permissão é perturbadora e inquietante para qualquer pessoa envolvida.
Como os usuários podem se proteger contra o preenchimento de credenciais
Os usuários precisam de proteções fortes contra o preenchimento de credenciais, incluindo senhas saudáveis e outros métodos, como autenticação de dois fatores ou autenticação multifator.
O uso de uma VPN (Rede Privada Virtual) pode adicionar uma camada extra de segurança ao mascarar seu endereço IP, dificultando que os hackers rastreiem sua atividade on-line ou o atinjam com ataques de preenchimento de credenciais. Usar senhas exclusivas para cada site ou serviço pode parecer um incômodo, mas os gerenciadores de senhas facilitam isso.
A 2FA também é possível em muitas contas on-line. Use-a sempre que possível. Mesmo que alguém consiga roubar uma senha, a 2FA coloca uma barreira extra no caminho. Geralmente, significa digitar um código enviado para um telefone ou e-mail, o que torna mais difícil para os invasores entrarem sem serem notados (a menos que já estejam em sua conta de e-mail).
Isso também ajuda a se manter informado. O Digital footprint scanner oferece monitoramentoDark Web e muito mais para permitir que você verifique se o e-mail ou as credenciais foram expostos em alguma violação de dados conhecida. É uma maneira útil de ficar à frente das ameaças e saber quando é hora de atualizar as senhas, e é fácil pesquisar seu endereço de e-mail e ver onde ele aparece em vazamentos.
Artigos relacionados:
Seu Social Security Number já foi exposto - e agora?
Acho que meu celular foi hackeado | Ajuda! Sinais de um celular hackeado