O roubo de contas é um cenário de pesadelo para qualquer pessoa. O facto de outra pessoa ter acesso às suas finanças ou aos seus dados mais sensíveis é extremamente stressante e pode ter impacto em toda a sua vida. Imagine alguém a esvaziar a sua conta bancária ou a utilizar cartões de crédito em seu nome.
Cabe às pessoas garantir que estão protegidas e que não são vítimas de ataques de preenchimento de credenciais. A definição de palavras-passe fortes e únicas e a monitorização rigorosa dos seus dados são essenciais para se proteger de ataques.
O que é o credential stuffing?
O enchimento de credenciais é quando os criminosos utilizam nomes de utilizador e palavras-passe roubados (muitas vezes recolhidos de violações de dados anteriores) para tentar entrar em contas online. Uma vez que muitas pessoas reutilizam palavras-passe em diferentes plataformas, um login concede frequentemente acesso a várias contas. É exatamente com isso que os hackers contam para atingir os seus objectivos.
Os cibercriminosos utilizam ferramentas automatizadas ou "bots" para disparar milhares de tentativas de login de uma só vez, atingindo o maior número possível de sites.
Estes bots são rápidos e programados para imitar o comportamento humano real, o que os torna mais difíceis de detetar e bloquear. Uma única conta pirateada pode levar ao roubo de dinheiro e de identidade.
Como funcionam os ataques de preenchimento de credenciais
O processo de credential stuffing significa adquirir dados roubados e utilizá-los para tentar aceder a contas em bancos e noutros sítios seguros. Os piratas informáticos encontram (ou compram) dados pessoais e depois automatizam o processo de tentativas de início de sessão para tentar entrar nas contas.
Recolha de dados
Tudo começa com dados roubados. Os piratas informáticos nem sempre precisam de invadir um sítio para obter palavras-passe, uma vez que já existem muitas a circular na Internet. Muitas credenciais roubadas acabam na dark web - uma parte oculta da Internet onde os cibercriminosos podem comprar e vender dados pirateados.
Estas credenciais de início de sessão provêm frequentemente de violações de dados anteriores e são comercializadas livremente ou vendidas em grandes lotes.
Algumas colecções, como a infame "Coleção #1-5", contêm milhares de milhões de nomes de utilizador e palavras-passe. É uma mina de ouro para os cibercriminosos, e tudo o que é preciso é uma correspondência noutra plataforma.
Tentativas de login automatizadas
Quando os piratas informáticos têm o seu stock de credenciais roubadas, o passo seguinte é testá-las. É aí que entra a automatização.
Os atacantes lançam tentativas de início de sessão em grande escala em vários sítios Web, verificando se alguma das combinações roubadas ainda funciona. Estes bots são inteligentes e alguns utilizam navegadores sem cabeça (um navegador Web que funciona sem uma interface gráfica de utilizador, em segundo plano e é controlado programaticamente - normalmente para tarefas automatizadas) ou rodam endereços IP numa tentativa de evitar a deteção. Até adicionam atrasos entre as tentativas de início de sessão para enganar os sistemas e fazê-los pensar que se trata de um utilizador normal a iniciar sessão, evitando suspeitas ou protocolos de segurança.
Aquisição de conta
Quando as credenciais coincidem e o início de sessão é bem sucedido, os piratas informáticos obtêm o controlo total da conta, por exemplo, da conta de correio eletrónico.
A partir daí, podem tentar esvaziar contas bancárias, roubar dados privados ou mesmo bloquear o verdadeiro proprietário. Os piratas informáticos têm abordagens diferentes consoante as contas que conseguem controlar. Se não conseguirem entrar no seu banco e esvaziá-lo, podem ainda utilizar o acesso à conta de correio eletrónico para outros crimes, como enviar mensagens de phishing para outras contas para as invadir também. Podem também vender contas comprometidas a outros criminosos. Em suma, um único login bem sucedido pode transformar-se numa confusão para o utilizador.
Recheio de credenciais vs. força bruta vs. pulverização de palavras-passe
Todos estes três tipos de ataque têm como alvo as palavras-passe, mas os métodos são diferentes.
Recheio de credenciais
O preenchimento de credenciais baseia-se em palavras-passe reais, previamente roubadas. Os piratas informáticos não estão a adivinhar, estão a utilizar dados existentes. O sucesso do ataque depende do número de pessoas que reutilizaram as suas palavras-passe em várias plataformas.
Ataques de força bruta
A força bruta é mais um jogo de adivinhação. O atacante tenta combinações aleatórias de palavras-passe vezes sem conta até que uma delas acabe por funcionar. É automatizado, mas é um método mais lento e mais fácil de detetar, uma vez que normalmente envolve muitas tentativas falhadas a partir do mesmo endereço IP.
Pulverização de palavras-passe
A pulverização de palavras-passe é uma mistura entre força bruta e preenchimento de credenciais. Os piratas informáticos experimentam palavras-passe comuns - como "password123" ou "123456" - num grande número de contas, como as que encontraram na Coleção #1. Este método é furtivo porque evita os sistemas de deteção que assinalam tentativas falhadas repetidas numa única conta.
Porque é que o preenchimento de credenciais é uma ameaça crescente
O enchimento de credenciais está a piorar. Uma das razões é a enorme quantidade de credenciais roubadas disponíveis online. Colecções como as mencionadas anteriormente dão aos atacantes uma fonte interminável de potenciais logins para testar e alimentar os seus sistemas. Enquanto as pessoas continuarem a reutilizar as palavras-passe, o risco mantém-se elevado.
Outro problema é a tecnologia que está por detrás destes ataques. Os bots estão a ficar mais avançados.
Ferramentas como os navegadores sem cabeça permitem-lhes comportar-se como utilizadores reais, e a falsificação de IP ajuda-os a evitar os sistemas de deteção. Ao integrarem plugins e personalizarem os navegadores, os atacantes podem afiná-los para tentar imitar o comportamento do utilizador. Alguns bots conseguem mesmo resolver desafios CAPTCHA ou imitar os movimentos do rato. Para contrariar esta situação, os sítios Web podem utilizar a impressão digital do dispositivo, que rastreia o navegador, o tipo de dispositivo e os padrões de comportamento de um utilizador para detetar inícios de sessão suspeitos e bloquear ataques automatizados.
Para além disso, o número de contas em linha explodiu. A maioria de nós tem dezenas de logins. Isto significa mais alvos para os atacantes tentarem a sua sorte e mais locais potenciais para as credenciais serem roubadas.
Os hábitos em matéria de palavras-passe não acompanharam as ameaças. Muitas pessoas continuam a utilizar palavras-passe simples e fáceis de adivinhar ou a mesma palavra-passe em vários sítios. De acordo com um estudo, 84% dos utilizadores utilizam palavras-passe arriscadas para contas online. Basta uma violação e, de repente, um pirata informático tem acesso a tudo, desde e-mails a contas financeiras.
Exemplos reais de ataques de preenchimento de credenciais
O enchimento de credenciais não é apenas uma ameaça teórica. Já causou o caos a alguns nomes importantes de diferentes sectores.
Um exemplo de grande visibilidade envolveu o banco HSBC, onde os atacantes utilizaram logins roubados para aceder às contas dos clientes. Esta violação permitiu o acesso não autorizado a dados financeiros e a empresa teve mesmo de suspender todo o seu processo de início de sessão online enquanto as coisas eram resolvidas. Cerca de 14.000 clientes foram afectados.
No Reddit, os utilizadores ficaram subitamente impossibilitados de aceder às suas contas, depois de uma vaga de ataques de credential stuffing ter atingido a plataforma. O Reddit teve de pedir aos utilizadores que redefinissem as suas palavras-passe para poderem aceder às suas contas.
Outro caso significativo foi o da TurboTax, em que os atacantes utilizaram credenciais roubadas para aceder a informações fiscais num ataque em 2019. Não se tratava apenas de nomes de utilizador e palavras-passe, uma vez que, uma vez lá dentro, os criminosos podiam aceder aos números da segurança social e a outros dados pessoais sensíveis.
A Nintendo também sofreu uma violação maciça em que milhares de contas Nintendo Network ID foram comprometidas. Os atacantes conseguiram entrar nas contas utilizando credenciais reutilizadas, o que levou a compras não autorizadas e a preocupações com a privacidade dos jogadores. Foram comprometidas 300.000 contas.
O impacto do credential stuffing
Os ataques de "credential stuffing" podem dar origem a grandes problemas. É possível que as vítimas fiquem bloqueadas nas contas e que o dinheiro seja roubado diretamente ou através de outros métodos fraudulentos, como a solicitação de cartões de crédito utilizando os seus dados.
Perdas financeiras
Uma das consequências mais imediatas e visíveis de um ataque de preenchimento de credenciais é o prejuízo financeiro que pode causar. Quando um atacante obtém acesso a uma conta bancária ou de pagamento, não demora muito para que os fundos comecem a desaparecer.
Muitas vezes, as vítimas têm de passar semanas a falar com os seus bancos ou fornecedores de cartões para resolver o problema e tentar recuperar o dinheiro. Isto pode causar imenso stress.
Roubo Identity
Para além do dinheiro, o preenchimento de credenciais abre a porta a algo ainda mais perigoso: o roubo de identidade.
Se os atacantes conseguirem deitar a mão a dados pessoais suficientes, podem fazer-se passar por outra pessoa. Podem candidatar-se a novas contas ou mesmo cometer fraudes e outros crimes usando o nome de outra pessoa. Os danos causados pela usurpação de identidade podem acompanhar uma pessoa durante anos e, muitas vezes, demoram muito tempo a ser totalmente desfeitos.
Invasão de Privacy
Há também a questão do espaço pessoal. Quando os atacantes invadem uma conta, não vêem apenas números e palavras-passe, ganham acesso a detalhes privados. Coisas como fotografias privadas e dados pessoais podem ser divulgados. Trata-se de uma grave invasão da privacidade. A ideia de que alguém pode navegar em conversas ou ficheiros sem autorização é perturbadora e inquietante para qualquer pessoa envolvida.
Como é que os utilizadores se podem proteger contra o preenchimento de credenciais
Os utilizadores precisam de fortes protecções contra o enchimento de credenciais, incluindo palavras-passe saudáveis e outros métodos como a autenticação de dois factores ou a autenticação multifactor.
A utilização de uma VPN (Rede Privada Virtual) pode adicionar uma camada extra de segurança ao mascarar o seu endereço IP, tornando mais difícil para os hackers localizarem a sua atividade online ou atacarem-no com ataques de preenchimento de credenciais. A utilização de palavras-passe únicas para cada sítio ou serviço pode parecer um incómodo, mas os gestores de palavras-passe facilitam-no.
A 2FA também é possível em muitas contas em linha. Utilize-a sempre que puder. Mesmo que alguém consiga roubar uma palavra-passe, a 2FA coloca uma barreira adicional no caminho. Normalmente, implica a introdução de um código enviado para um telefone ou e-mail, o que torna mais difícil aos atacantes entrarem sem serem detectados (a menos que já estejam na sua conta de e-mail).
Também ajuda a manter-se informado. O digital footprint scanner oferece monitorizaçãoDark Web e muito mais para permitir verificar se o seu correio eletrónico ou credenciais foram expostos em quaisquer violações de dados conhecidas. É uma forma útil de se manter à frente das ameaças e saber quando é altura de atualizar as palavras-passe, e é fácil pesquisar o seu endereço de correio eletrónico e ver onde aparece em fugas de informação.
Artigos relacionados:
O seu número de segurança social já está exposto - e agora?
Acho que o meu telemóvel foi pirateado | Ajuda! Sinais de um telemóvel pirateado