A Ameaça do Reuso de Credenciais e os Ataques de Credential Stuffing
Com a proliferação de plataformas digitais, cada uma exigindo um login único – um nome de usuário e uma senha – a tentação de reutilizar as mesmas informações em todos os lugares pode ser grande. Contudo, essa aparente conveniência esconde um perigo significativo.
Um estudo de 2022 da SpyCloud, que analisou um vasto conjunto de 15 bilhões de credenciais comprometidas, revelou que alarmantes 65% das senhas vazadas foram usadas em mais de uma conta. Este dado alarmante destaca um problema crítico na segurança digital.
Reutilizar senhas em diferentes plataformas pode parecer uma maneira simples de evitar o esquecimento, mas na verdade, é uma armadilha pronta para ser acionada. Se um único sistema for comprometido, abrindo caminho para que suas credenciais caiam em mãos erradas, todas as outras contas que compartilham as mesmas informações ficam em risco. Dada a facilidade com que credenciais comprometidas são vendidas na dark web, o risco de ser vítima de ataques de credential stuffing é muito alto.
O credential stuffing é uma forma de ciberataque onde criminosos usam credenciais roubadas de uma conta ou sistema para tentar invadir outras contas ou sistemas não relacionados. Por exemplo, um criminoso pode obter seu nome de usuário e senha do Twitter e usar essas informações para tentar invadir sua conta PayPal. Se as mesmas credenciais forem usadas no Twitter e no PayPal, a conta PayPal estará em risco devido a uma falha de segurança do Twitter.
Se você utiliza a mesma senha do Twitter em outras contas online, elas também podem ser comprometidas. Este tipo de ataque, conhecido como credential stuffing, aproveita a prática comum de muitos usuários de reutilizarem as mesmas credenciais em várias plataformas.
Atores mal-intencionados frequentemente utilizam bots para automatizar e ampliar os ataques de credential stuffing, o que lhes permite testar um grande número de credenciais comprometidas em diversas plataformas. Com o vazamento constante de credenciais em quebras de dados e a sua venda na dark web, os ataques de credential stuffing têm se tornado cada vez mais comuns.
Como Funciona o Credential Stuffing
Um ataque de credential stuffing tem início com a obtenção de credenciais comprometidas. Essas informações podem ser compradas na dark web, encontradas em sites de vazamento de senhas ou obtidas através de ataques de phishing ou violações de dados.
Em seguida, os atacantes configuram bots para testar as credenciais roubadas em diferentes sites. Esses bots automatizados são perfeitos para esse tipo de ataque porque podem realizar o preenchimento de credenciais de maneira furtiva, utilizando um grande volume de dados em diversos sites de forma muito rápida.
Para evitar que um endereço IP seja bloqueado após várias tentativas de login mal sucedidas, os bots também são usados. Uma vez que um ataque de credential stuffing é iniciado, os processos para monitorar logins bem-sucedidos também começam, paralelamente ao ataque em si. Dessa forma, os invasores identificam facilmente as credenciais que funcionam em determinados sites, usando-as para invadir as plataformas.
Depois de obter acesso a uma conta, as possibilidades dos invasores são diversas. Eles podem vender as credenciais para outros criminosos, roubar informações pessoais, cometer fraudes de identidade ou usar a conta para fazer compras, caso seja uma conta bancária comprometida.
Por que os Ataques de Credential Stuffing São Eficazes
Embora tenham taxas de sucesso relativamente baixas, os ataques de credential stuffing são surpreendentemente comuns. Um relatório do Insikt Group, uma divisão de pesquisa de ameaças da Recorded Future, revela que a taxa de sucesso média desses ataques está entre 1% e 3%. Contudo, um relatório da Akamai Technologies indicou que, em 2020, foram registrados 193 bilhões de ataques de credential stuffing em todo o mundo.
O grande número de ataques e a sua crescente prevalência são resultados da grande quantidade de credenciais comprometidas disponíveis e do acesso a ferramentas de bot avançadas que tornam os ataques mais eficazes, praticamente indistinguíveis das tentativas de login de um ser humano.
Mesmo com uma taxa de sucesso baixa de apenas 1%, um invasor com 1 milhão de credenciais pode comprometer cerca de 10.000 contas. Esse grande volume de credenciais é frequentemente comercializado na dark web e reutilizado em várias plataformas, aumentando exponencialmente o número de contas invadidas. O hábito de reutilizar senhas em várias plataformas contribui para a eficácia desses ataques.
Credential Stuffing Vs. Ataques de Força Bruta
Embora o credential stuffing e os ataques de força bruta sejam ambos ataques para assumir o controle de contas e o Open Web Application Security Project (OWASP) considere o credential stuffing um subconjunto de ataques de força bruta, eles diferem na sua execução.
Em um ataque de força bruta, um ator malicioso tenta assumir o controle de uma conta adivinhando o nome de usuário ou a senha, ou ambos. Isso geralmente é feito tentando o maior número possível de combinações de nome de usuário e senha, sem nenhuma pista ou contexto. Um ataque de força bruta pode usar padrões de senha comuns ou um dicionário de frases de senha populares, como Qwerty, senha ou 12345. Esse tipo de ataque tende a funcionar quando os usuários utilizam senhas fracas ou senhas padrão do sistema.
Por outro lado, um ataque de credential stuffing tenta assumir o controle de uma conta utilizando credenciais comprometidas obtidas de outros sistemas ou contas online. Este ataque não tenta adivinhar as credenciais, mas depende da reutilização de uma mesma senha em várias contas online. As taxas de sucesso de ataques de força bruta tendem a ser muito mais baixas do que as do credential stuffing. Enquanto senhas fortes podem impedir ataques de força bruta, elas não são capazes de impedir o credential stuffing caso a mesma senha seja utilizada em várias contas. A melhor maneira de se proteger contra o credential stuffing é usar credenciais únicas em cada conta online.
Como Detectar Ataques de Credential Stuffing
Geralmente, os agentes de ameaças de credential stuffing utilizam bots que imitam agentes humanos. É difícil distinguir uma tentativa de login de um ser humano real de um bot. Contudo, existem alguns sinais que podem indicar um ataque de credential stuffing.
Por exemplo, um aumento repentino no tráfego da web deve levantar suspeitas. Nesses casos, monitorar as tentativas de login no site pode ser útil. Se houver um aumento nas tentativas de login em várias contas de diversos endereços de IP ou um aumento na taxa de falhas de login, isso pode ser um sinal de ataque de credential stuffing em andamento.
Outro indicador é o aumento de usuários que reclamam de terem sido bloqueados em suas contas ou que recebem notificações de tentativas de login malsucedidas que não foram feitas por eles. Além disso, monitorar a atividade do usuário e detectar atividades incomuns, como alterações nas configurações, informações de perfil, transferências de dinheiro e compras online, também podem indicar um ataque.
Como se Proteger Contra o Credential Stuffing
Várias medidas podem ser tomadas para evitar ser vítima de ataques de credential stuffing:
#1. Evite reutilizar as mesmas credenciais em várias contas
O credential stuffing se aproveita do compartilhamento de credenciais em várias contas online. Isso pode ser evitado utilizando credenciais únicas para cada conta online. Gerenciadores de senha como o Google Password Manager podem ajudar os usuários a criar senhas únicas sem o risco de esquecê-las. As empresas também podem impedir o uso de e-mails como nomes de usuário para incentivar o uso de credenciais únicas.
#2. Usar autenticação multifator (MFA)
A autenticação multifator é o uso de múltiplos métodos para autenticar a identidade de um usuário ao tentar fazer login. A MFA pode ser implementada combinando os métodos tradicionais, como nome de usuário e senha, com códigos de segurança enviados por e-mail ou mensagem de texto. Essa medida adicional de segurança é muito eficaz na prevenção do credential stuffing, e pode até alertar o usuário em caso de tentativa de invasão, caso ele receba um código de segurança sem ter feito a solicitação. Um estudo da Microsoft revelou que contas online que utilizam MFA têm 99,9% menos probabilidade de serem comprometidas.
#3. Impressão digital do dispositivo
A impressão digital do dispositivo pode ser usada para associar o acesso a uma conta online a um dispositivo específico. Essa impressão digital identifica o dispositivo usado para acessar uma conta, usando informações como modelo e número do dispositivo, sistema operacional, idioma e país, entre outros. O acesso à conta por um dispositivo diferente sem a autorização do dispositivo associado não será permitido.
#4. Monitore senhas vazadas
Ao criar um nome de usuário e senha para uma plataforma online, é recomendável verificar a força das senhas e também verificar se as credenciais foram vazadas publicamente. Isso evita o uso de informações que podem ser exploradas. Organizações podem implementar soluções para monitorar as credenciais do usuário e compará-las com dados vazados na dark web, notificando os usuários sempre que uma correspondência for encontrada. Usuários também podem ser solicitados a verificar sua identidade através de outros métodos e alterar suas credenciais, além de usar a MFA para proteger ainda mais suas contas.
#5. Hash da credencial
O hash de credenciais consiste em embaralhar as credenciais do usuário antes de serem armazenadas em um banco de dados. Isso ajuda a proteger contra o uso indevido de credenciais em caso de vazamento de dados, pois as informações serão armazenadas em um formato que não poderá ser usado. Embora não seja um método infalível, ele pode dar tempo para que os usuários alterem suas senhas em caso de vazamento.
Exemplos de Ataques de Credential Stuffing
Alguns exemplos notáveis de ataques de credential stuffing incluem:
- O roubo de mais de 500.000 credenciais do Zoom em 2020, usando informações obtidas em vários fóruns da dark web. As credenciais foram obtidas de ataques que datam de 2013 e foram vendidas a baixo custo para quem estivesse interessado.
- O comprometimento de milhares de contas de usuários da Canada Revenue Agency (CRA) em 2020. Cerca de 5.500 contas foram invadidas em dois ataques separados, impedindo os usuários de acessarem os serviços oferecidos pela CRA.
- O comprometimento de 194.095 contas de usuário da The North Face, uma empresa de roupas esportivas, em julho de 2022. O ataque resultou no vazamento de dados como nome completo do usuário, número de telefone, gênero, pontos de fidelidade, endereço de cobrança e entrega, data de criação da conta e histórico de compras.
- O ataque de credential stuffing no Reddit em 2019, que resultou no bloqueio de várias contas de usuários após o comprometimento de suas credenciais.
Esses ataques demonstram a importância da proteção contra este tipo de ameaça.
Conclusão
É comum encontrar vendedores de credenciais de sites de streaming como Netflix, Hulu e Disney+, ou de serviços online como Grammarly, Zoom e Turnitin. Mas de onde vêm essas credenciais? Elas provavelmente são obtidas através de ataques de credential stuffing. Se você reutiliza as mesmas credenciais em várias contas, é hora de mudá-las antes de se tornar uma vítima.
Para se proteger ainda mais, implemente a autenticação multifator em todas as suas contas online e evite comprar credenciais comprometidas, pois isso cria um ambiente propício para ataques de credential stuffing.