Com tantos sites e aplicativos que exigem credenciais de usuário exclusivas, ou seja, um nome de usuário e uma senha, pode ser tentador usar as mesmas credenciais em todas essas plataformas.
Na verdade, de acordo com o Relatório Anual de Exposição de Identidade de 2022 da SpyCloud, que analisou mais de 15 bilhões de credenciais comprometidas disponíveis em sites criminosos clandestinos, descobriu-se que 65% das senhas violadas foram usadas em pelo menos duas contas.
Para os usuários que reutilizam credenciais em diferentes plataformas, pode parecer uma maneira engenhosa de evitar o esquecimento de senhas, mas, na realidade, é um desastre esperando para acontecer.
Caso um dos sistemas seja comprometido e suas credenciais sejam capturadas, todas as outras contas que usam as mesmas credenciais correm o risco de serem comprometidas. Tendo em mente que as credenciais comprometidas são vendidas de forma barata na dark web, você pode facilmente se tornar uma vítima de preenchimento de credenciais.
O preenchimento de credenciais é um ataque cibernético em que atores mal-intencionados usam credenciais roubadas para uma conta ou sistema online para tentar acessar outras contas ou sistemas online não relacionados.
Um exemplo disso é um ator mal-intencionado obtendo acesso ao seu nome de usuário e senha da sua conta do Twitter e usando essas credenciais comprometidas para tentar acessar uma conta do Paypal.
Caso você esteja usando as mesmas credenciais no Twitter e no Paypal, sua conta do Paypal será invadida devido a uma violação de suas credenciais do Twitter.
Caso você esteja usando suas credenciais do Twitter em várias contas online, essas contas online também podem estar comprometidas. Esse ataque é conhecido como preenchimento de credenciais e explora o fato de que muitos usuários reutilizam credenciais em várias contas online.
Atores mal-intencionados que realizam ataques de preenchimento de credenciais geralmente usam bots para automatizar e dimensionar o processo. Isso permite que eles usem um grande número de credenciais comprometidas e tenham como alvo várias plataformas online. Com credenciais comprometidas vazando de violações de dados e também sendo vendidas na dark web, os ataques de preenchimento de credenciais se tornaram predominantes.
últimas postagens
Como funciona o preenchimento de credenciais
Um ataque de preenchimento de credenciais começa com a aquisição de credenciais comprometidas. Esses nomes de usuário e senhas podem ser comprados na dark web, acessados em sites de despejo de senhas ou obtidos em violações de dados e ataques de phishing.
A próxima etapa envolve a configuração de bots para testar as credenciais roubadas em diferentes sites. Os bots automatizados são a ferramenta ideal em ataques de preenchimento de credenciais, pois os bots podem realizar furtivamente o preenchimento de credenciais usando um grande número de credenciais contra muitos sites em alta velocidade.
O desafio de um endereço IP ser bloqueado após várias tentativas de login com falha também é evitado usando bots.
Quando um ataque de preenchimento de credenciais é iniciado, processos automatizados para monitorar logins bem-sucedidos também são iniciados em paralelo com o ataque de preenchimento de credenciais. Dessa forma, os invasores obtêm facilmente credenciais que funcionam em determinados sites online e as utilizam para assumir uma conta nas plataformas.
Depois que os invasores tiverem acesso a uma conta, o que eles podem fazer com ela fica a seu critério. Os invasores podem vender as credenciais para outros invasores, roubar informações confidenciais da conta, comprometer a identidade ou usar a conta para fazer compras online caso uma conta bancária seja comprometida.
Por que os ataques de preenchimento de credenciais são eficazes
Credential Stuffing é um ataque cibernético com taxas de sucesso muito baixas. Na verdade, de acordo com o relatório The Economy of Credential Stuffing Attacks do Insikt Group, que é a divisão de pesquisa de ameaças da Recorded Future, a taxa média de sucesso para ataques de preenchimento de credenciais está entre um e três por cento.
Por mais que suas taxas de sucesso sejam baixas, a Akamai Technologies, em seu relatório State of the Internet / Security de 2021, observou que em 2020, a Akamai viu 193 bilhões de ataques de preenchimento de credenciais globalmente.
A razão para o alto número de ataques de preenchimento de credenciais e por que eles estão se tornando mais prevalentes é devido ao número de credenciais comprometidas disponíveis e ao acesso a ferramentas de bot avançadas que tornam os ataques de preenchimento de credenciais mais eficazes e quase indistinguíveis das tentativas de login humanas.
Por exemplo, mesmo com uma taxa de sucesso baixa de apenas um por cento, se um invasor tiver 1 milhão de credenciais comprometidas, ele poderá comprometer cerca de 10.000 contas. Grandes volumes de credenciais comprometidas são negociados na dark web, e esses grandes volumes de credenciais comprometidas podem ser reutilizados em várias plataformas.
Esses altos volumes de credenciais comprometidas resultam em um aumento no número de contas comprometidas. Isso, juntamente com o fato de que as pessoas continuam a reutilizar suas credenciais em várias contas online, os ataques de preenchimento de credenciais tornam-se muito eficazes.
Recheio de Credenciais Vs. Ataques de Força Bruta
Embora o preenchimento de credenciais e os ataques de força bruta sejam ataques de controle de conta e o Open Web Application Security Project (OWASP) considere o preenchimento de credenciais um subconjunto de ataques de força bruta, os dois diferem em como são executados.
Em um ataque de força bruta, um ator mal-intencionado tenta controlar uma conta adivinhando o nome de usuário ou senha ou ambos. Isso normalmente é feito tentando o maior número possível de combinações de nome de usuário e senha sem nenhum contexto ou pista sobre o que podem ser.
Uma força bruta pode usar padrões de senha comumente usados ou um dicionário de frases de senha comumente usadas, como Qwerty, senha ou 12345. Um ataque de força bruta pode ser bem-sucedido se o usuário usar senhas fracas ou senhas padrão do sistema.
Um ataque de preenchimento de credenciais, por outro lado, tenta assumir o controle de uma conta usando credenciais comprometidas obtidas de outros sistemas ou contas online. Em um ataque de preenchimento de credenciais, o ataque não adivinha as credenciais. O sucesso de um ataque de preenchimento de credenciais depende de um usuário reutilizar sua credencial em várias contas online.
Normalmente, as taxas de sucesso dos ataques de força bruta são muito mais baixas do que o preenchimento de credenciais. Ataques de força bruta podem ser evitados usando senhas fortes. No entanto, o uso de senhas fortes não pode impedir o preenchimento de credenciais caso a senha forte seja compartilhada entre várias contas. O preenchimento de credenciais é evitado usando credenciais exclusivas em contas online.
Como detectar ataques de preenchimento de credenciais
Os agentes de ameaças de preenchimento de credenciais normalmente usam bots que imitam agentes humanos, e muitas vezes é muito difícil diferenciar uma tentativa de login de um ser humano real de um bot. No entanto, ainda há sinais que podem sinalizar um ataque de preenchimento de credenciais em andamento.
Por exemplo, um aumento repentino no tráfego da web deve levantar suspeitas. Nesse caso, monitore as tentativas de login no site e, caso haja um aumento nas tentativas de login em várias contas de vários endereços IP ou um aumento na taxa de falhas de login, isso pode indicar um ataque de preenchimento de credenciais em andamento.
Outro indicador de um ataque de preenchimento de credenciais é o usuário reclamando de ter sido bloqueado em suas contas ou recebendo notificações sobre tentativas de login com falha que não foram feitas por eles.
Além disso, monitore a atividade do usuário e, caso perceba uma atividade incomum do usuário, como fazer alterações em suas configurações, informações de perfil, transferências de dinheiro e compras online, isso pode sinalizar um ataque de preenchimento de credenciais.
Como se proteger contra o preenchimento de credenciais
Existem várias medidas que podem ser tomadas para evitar ser vítima de ataques de preenchimento de credenciais. Isso inclui:
#1. Evite reutilizar as mesmas credenciais em várias contas
O preenchimento de credenciais depende de um usuário compartilhar credenciais em várias contas online. Isso pode ser facilmente evitado usando credenciais exclusivas em diferentes contas online.
Com gerenciadores de senhas, como o Google Password Manager, os usuários ainda podem usar senhas únicas e exclusivas sem se preocupar em esquecer suas credenciais. As empresas também podem impor isso impedindo o uso de e-mails como nomes de usuário. Dessa forma, é mais provável que os usuários usem credenciais exclusivas em diferentes plataformas.
#2. Usar autenticação multifator (MFA)
Autenticação multifator é o uso de vários métodos para autenticar a identidade de um usuário tentando fazer login. Isso pode ser implementado combinando métodos de autenticação tradicionais de um nome de usuário e uma senha, juntamente com um código de segurança secreto compartilhado com os usuários por e-mail ou mensagem de texto para confirmar ainda mais sua identidade. Isso é muito eficaz na prevenção do preenchimento de credenciais, pois adiciona uma camada extra de segurança.
Ele pode até avisar quando alguém tentar comprometer sua conta, pois você receberá um código de segurança sem fazer uma solicitação. A MFA é tão eficaz que um estudo da Microsoft estabeleceu que as contas online têm 99,9% menos probabilidade de serem comprometidas se usarem a MFA.
#3. Impressão digital do dispositivo
A impressão digital do dispositivo pode ser usada para associar o acesso a uma conta online a um dispositivo específico. A impressão digital do dispositivo identifica o dispositivo que está sendo usado para acessar uma conta usando informações como modelo e número do dispositivo, sistema operacional usado, idioma e país, entre outros.
Isso cria uma impressão digital exclusiva do dispositivo que é associada a uma conta de usuário. O acesso à conta usando um dispositivo diferente não é permitido sem permissão concedida pelo dispositivo associado à conta.
#4. Monitore senhas vazadas
Quando os usuários estão tentando criar nomes de usuário e senhas para uma plataforma on-line, em vez de apenas verificar a força das senhas, as credenciais podem ser verificadas contra as senhas vazadas publicadas. Isso ajuda a evitar o uso de credenciais que podem ser exploradas posteriormente.
As organizações podem implementar soluções que monitoram as credenciais do usuário contra credenciais vazadas na dark web e notificam os usuários sempre que uma correspondência é encontrada. Os usuários podem ser solicitados a verificar sua identidade por meio de vários métodos, alterar credenciais e também implementar MFA para proteger ainda mais sua conta
#5. Hash da credencial
Isso envolve embaralhar as credenciais do usuário antes de serem armazenadas em um banco de dados. Isso ajuda a proteger contra o uso indevido de credenciais em caso de violação de dados dos sistemas, pois as credenciais serão armazenadas em um formato que não pode ser usado.
Embora esse não seja um método infalível, ele pode dar aos usuários tempo para alterar suas senhas em caso de violação de dados.
Exemplos de ataques de preenchimento de credenciais
Alguns exemplos notáveis de ataques de preenchimento de credenciais incluem:
- O roubo de mais de 500.000 credenciais do Zoom em 2020. Esse ataque de preenchimento de credenciais foi executado usando nomes de usuários e senhas obtidos de vários fóruns da dark web, com credenciais obtidas de ataques que datam de 2013. As credenciais roubadas do zoom foram disponibilizadas no dark web web e vendidos a baixo custo para compradores dispostos
- Compromisso em milhares de contas de usuário da Canada Revenue Agency (CRA). Em 2020, cerca de 5.500 contas do CRA foram comprometidas em dois ataques de credenciais separados, resultando na incapacidade dos usuários de acessar os serviços oferecidos pelo CRA.
- Compromisso de 194.095 contas de usuário The North Face. A The North Face é uma empresa que vende roupas esportivas e sofreu um ataque de preenchimento de credenciais em julho de 2022. O ataque resultou no vazamento do nome completo do usuário, número de telefone, sexo, pontos de fidelidade, endereço de cobrança e entrega, data de criação da conta, e histórico de compras.
- Ataque de preenchimento de credenciais do Reddit em 2019. Vários usuários do Reddit foram bloqueados em suas contas depois que suas credenciais foram comprometidas por meio de ataques de preenchimento de credenciais.
Esses ataques destacam a importância da necessidade de se proteger contra ataques semelhantes.
Conclusão
Você pode ter encontrado vendedores de credenciais para sites de streaming como Netflix, Hulu e disney+ ou serviços online como Grammarly, Zoom e Turnitin, entre outros. Onde você acha que os vendedores obtêm as credenciais?
Bem, essas credenciais provavelmente são obtidas por meio de ataques de preenchimento de credenciais. Se você usar as mesmas credenciais em várias contas online, é hora de alterá-las antes de se tornar uma vítima.
Para se proteger ainda mais, implemente a autenticação multifator em todas as suas contas online e evite comprar credenciais comprometidas, pois isso cria um ambiente propício para ataques de preenchimento de credenciais.