O que é o Credential Stuffing?

O preenchimento de credenciais tem dominado as manchetes nos últimos anos e tornou-se rapidamente o método de ataque preferido dos cibercriminosos.

Entre 1 de janeiro de 2018 e 31 de dezembro de 2019, a Akamai Technologies registou mais de 88 mil milhões de ataques em todos os sectores. Prevê-se que este número aumente com o aumento das violações de dados e a mudança maciça para serviços online durante a pandemia de Covid-19.

Os ataques de credential stuffing ocorrem quando os criminosos utilizam grandes quantidades de nomes de utilizador e palavras-passe roubados para obter acesso fraudulento a contas de utilizadores. Esta informação é normalmente obtida na dark web como resultado de uma das muitas violações de dados empresariais.

Utilizando bots em grande escala e ferramentas de automatização especializadas, os piratas informáticos podem depois utilizar estas credenciais roubadas para tentar vários pedidos de início de sessão em vários sítios. Este tipo de ataque é relativamente fácil de executar e depende muito da reutilização da mesma palavra-passe por parte das pessoas.

É realmente um tipo de ataque de força bruta, mas em vez de adivinhar combinações aleatórias de palavras-passe, utiliza credenciais legítimas, melhorando assim a taxa de sucesso geral.

Tal como a maioria dos ataques informáticos, a principal motivação é financeira. Os piratas informáticos tentam rentabilizar as contas comprometidas, obtendo acesso a contas bancárias associadas, ou utilizam os dados pessoais para cometer roubo de identidade.

O que está a alimentar o crescimento dos ataques de “Credential Stuffing”?

Muito simplesmente, são os milhares de milhões de credenciais comprometidas que estão prontamente disponíveis para compra na dark web. O site HaveIBeenPwned.com regista mais de 8,5 mil milhões de credenciais comprometidas de mais de 400 violações de dados, e algumas dessas violações são absolutamente colossais.

O exemplo mais notável desta situação é a mega violação Collection #1. A violação foi revelada em 2019, expondo 1,2 mil milhões de endereços de e-mail e combinações de palavras-passe únicos, 773 milhões de endereços de e-mail únicos e 21 milhões de palavras-passe.

Este acesso fácil a grandes quantidades de dados permite aos hackers testar milhões de combinações diferentes de e-mail e palavra-passe, na esperança de que os utilizadores tenham reutilizado a mesma palavra-passe.

A crescente sofisticação das ferramentas que os piratas informáticos utilizam atualmente para lançar estes ataques também facilitou a tentativa de múltiplas tentativas de início de sessão, aparentando ter origem em diferentes endereços IP.

Que sectores são afectados por ataques de Credential Stuffing?

Todos os sectores são alvo de ataques de preenchimento de credenciais, mas alguns são mais susceptíveis do que outros. Os mais visados incluem o comércio eletrónico, o retalho, os serviços financeiros, o entretenimento, o ensino superior e os serviços de saúde.

O sector dos serviços financeiros foi particularmente afetado e, em setembro deste ano, o FBI emitiu um aviso às organizações do sector financeiro sobre o aumento destes ataques. A agência descobriu que 41% de todos os ataques ao sector financeiro entre 2017 e 2020 se deveram ao preenchimento de credenciais, resultando na perda de milhões de dólares.

Estes tipos de ataques podem ter consequências devastadoras para as empresas, incluindo: perda de receitas, tempo de inatividade operacional, danos à reputação, sanções financeiras e perda de clientes.

Exemplos de ataques recentes de preenchimento de credenciais

Tem havido um aumento notável no número de violações de dados resultantes de ataques a credenciais. Alguns exemplos recentes incluem:

• Dunkin Donuts – Em fevereiro de 2019, a Dunkin Donuts confirmou que tinha sofrido um ataque de credential stuffing, o segundo a ocorrer no espaço de três meses. Em ambos os ataques, os hackers utilizaram credenciais roubadas que foram divulgadas por outros sites para obter acesso às contas de recompensa DD Perks. Uma vez lá dentro, conseguiram aceder ao primeiro e último nome dos utilizadores, endereço de e-mail, números de conta DD Perks e o código QR DD Perks. Neste ataque específico, não eram as informações pessoais do utilizador que os hackers pretendiam, mas sim a própria conta, que depois venderam na dark web.
• Nintendo – Em abril de 2020, a Nintendo anunciou que 160.000 contas tinham sido violadas num ataque de credential stuffing. Utilizando IDs de utilizador e palavras-passe previamente expostos, os hackers conseguiram aceder às contas dos utilizadores, permitindo-lhes comprar itens digitais utilizando cartões armazenados. Também conseguiram visualizar dados sensíveis, incluindo nome, endereço de correio eletrónico, data de nascimento, sexo e país.

Como evitar o preenchimento de credenciais

Segurança da palavra-passe forte

Todos sabemos a importância de utilizar palavras-passe fortes e únicas, mas, de acordo com um inquérito de segurança recente da Google, 65% das pessoas utilizam a mesma palavra-passe em várias contas.

Esta é uma prática extremamente arriscada, uma vez que os ataques de credential stuffing dependem muito da utilização das mesmas palavras-passe reutilizadas. Pode ser algo que estás sempre a pensar em fazer, mas vale a pena fazer uma limpeza digital e criar palavras-passe únicas para cada uma das tuas contas online.

Uma excelente forma de criar uma palavra-passe mais longa e complexa é utilizar uma frase-chave. Uma frase secreta é uma sequência de palavras que é memorável para ti mas difícil de decifrar por qualquer outra pessoa. A primeira letra de cada palavra constituirá a base da tua palavra-passe e as letras podem ser substituídas por números e símbolos para a tornar ainda mais segura.

Utiliza um gestor de senhas

Se a ideia de te lembrares de várias palavras-passe te enche de medo, então um gestor de palavras-passe pode ser a solução. Um gestor de palavras-passe fornece uma localização centralizada e encriptada que mantém um registo seguro de todas as tuas palavras-passe.

Os gestores de palavras-passe armazenam os detalhes de início de sessão de todos os sítios Web que utilizas e, em seguida, iniciam sessão automaticamente sempre que regressas a um sítio. O primeiro passo para utilizar um gestor de senhas é criar uma senha mestra. A palavra-passe mestra controla o acesso a toda a tua base de dados de palavras-passe. Esta palavra-passe é a única que terás de memorizar, pelo que é importante que seja o mais forte e segura possível.

Os gestores de senhas também podem proteger contra ataques de phishing, uma vez que preenchem as informações da conta com base nos teus endereços Web registados. Isto significa que se pensas que estás no site do teu banco, mas o gestor de senhas não te liga automaticamente, podes ter entrado inadvertidamente num site de phishing.

Implementa a autenticação multi-fator

A autenticação multifator, também conhecida como MFA, é uma das melhores formas de proteger a segurança das tuas contas online. De facto, de acordo com a Microsoft, a probabilidade de a tua conta ser comprometida é 99,9% menor se utilizares a MFA.

Em vez de confirmares a tua identidade apenas com um nome de utilizador e uma palavra-passe simples, terás de fornecer dois ou mais factores de autenticação a que só tu podes aceder. Isto reduz a possibilidade de um hacker conseguir aceder facilmente às tuas contas.

Existem muitas tecnologias de autenticação diferentes que podem ser utilizadas para confirmar a tua identidade e que normalmente se baseiam em: algo que sabes, algo que tens ou algo que és.

Alguns destes métodos de verificação são, sem dúvida, mais seguros do que outros, mas essencialmente significa que, mesmo que alguém roube ou adivinhe a tua palavra-passe, não conseguirá aceder à tua conta sem outro fator de autenticação.

Monitoriza e bloqueia tentativas de início de sessão suspeitas

Quando os hackers tentam comprometer contas através de credential stuffing, utilizam frequentemente bots ou outras ferramentas automatizadas para introduzir milhares de credenciais numa sucessão rápida. Estas estão normalmente espalhadas por vários endereços IP, o que torna difícil determinar se são tentativas de início de sessão legítimas ou sinais de um ataque coordenado.

No entanto, se houver várias tentativas de início de sessão falhadas durante um período de tempo relativamente curto, isto pode ser um sinal de que está a ocorrer um ataque de preenchimento de credenciais. Para evitar que isto aconteça, os departamentos de TI podem definir um limite para o número de tentativas de início de sessão que um único endereço IP pode efetuar num determinado período de tempo. Podem também controlar os inícios de sessão que resultam em fraude e colocar esses endereços IP numa lista negra.