O recheio de credenciais tem dominado as manchetes nos últimos anos e tornou-se rapidamente o método de ataque de eleição utilizado pelos cibercriminosos.
Entre 1 de Janeiro de 2018, e 31 de Dezembro de 2019, a Akamai Technologies registou mais de 88 mil milhões de ataques em todas as indústrias. Este número só deverá aumentar com o aumento das violações de dados e a mudança maciça para serviços online durante a pandemia de Covid-19.
Os ataques de enchimento de credenciais ocorrem quando os criminosos utilizam grandes quantidades de nomes de utilizador e palavras-passe roubadas para obterem acesso fraudulento a contas de utilizadores. Esta informação é normalmente obtida na teia escura como resultado de uma das muitas violações de dados corporativos.
Utilizando bots de grande escala e ferramentas de automação especializadas, os hackers podem então utilizar estas credenciais roubadas para tentar vários pedidos de login em vários sites. Este tipo de ataque é relativamente fácil de executar e depende fortemente da reutilização da mesma palavra-passe por parte das pessoas.
É realmente um tipo de ataque de força bruta, mas em vez de adivinhar combinações aleatórias de senhas, utiliza credenciais legítimas, melhorando assim a taxa global de sucesso.
Como a maioria dos ataques cibernéticos, a principal motivação é financeira. Os hackers tentarão rentabilizar contas comprometidas, obtendo acesso a contas bancárias ligadas, ou utilizarão os dados pessoais para cometer roubo de identidade.
O que é que alimenta o crescimento dos ataques de recheio de credenciais?
Muito simplesmente, são os milhares de milhões de credenciais comprometidas que estão prontamente disponíveis para comprar na teia escura. O website HaveIBeenPwned.com regista mais de 8,5 mil milhões de credenciais comprometidas de mais de 400 violações de dados, e algumas destas violações são absolutamente colossais.
O exemplo mais notável disto é a Colecção #1 mega violação. A quebra veio à luz em 2019, expondo 1,2 mil milhões de endereços de correio electrónico únicos e combinações de palavras-passe, 773 milhões de endereços de correio electrónico únicos, e 21 milhões de palavras-passe.
Este acesso fácil a grandes quantidades de dados permite aos hackers testar milhões de diferentes combinações de correio electrónico e palavra-passe na esperança de que os utilizadores tenham reutilizado a mesma palavra-passe.
A crescente sofisticação das ferramentas que os hackers estão agora a utilizar para lançar estes ataques também facilitou a tentativa de múltiplas tentativas de login, parecendo ter origem em diferentes endereços IP.
Que indústrias são afectadas por ataques de recheio de credenciais?
Todas as indústrias são alvos de ataques de enchimento de credenciais, mas algumas são mais susceptíveis do que outras. Os alvos mais visados incluem o comércio electrónico, retalho, serviços financeiros, entretenimento, ensino superior e serviços de saúde.
A indústria dos serviços financeiros foi particularmente atingida, e em Setembro deste ano, o FBI emitiu um aviso às organizações do sector financeiro sobre o pico nestes ataques. A agência constatou que 41% de todos os ataques ao sector financeiro entre 2017 e 2020 foram devidos ao enchimento de credenciais, resultando na perda de milhões de dólares.
Estes tipos de ataques podem ter consequências devastadoras para as empresas, incluindo; perda de receitas, inactividade operacional, danos à reputação, penalizações financeiras e perda de clientes.
Exemplos de Recentes Ataques com Recentes Recentes Recargas de Credenciais
Tem havido um aumento notável no número de violações de dados resultantes de ataques de credenciais. Alguns exemplos recentes incluem:
- Dunkin Donuts - Em Fevereiro de 2019, Dunkin Donuts confirmou que tinha sofrido um ataque de recheio de credenciais, o segundo a ter lugar no espaço de três meses. Em ambos os ataques, os hackers usaram credenciais roubadas que foram divulgadas de outros sites para obter acesso a contas de recompensa de DD Perks. Uma vez lá dentro, puderam aceder ao primeiro e último nome dos utilizadores, endereço de e-mail, números de conta DD Perks e o código DD Perks QR. Neste ataque específico, não era a informação pessoal do utilizador que os hackers procuravam, era a própria conta, que depois vendiam na teia escura.
- Nintendo - Em Abril de 2020, a Nintendo anunciou que 160.000 contas tinham sido violadas num ataque de recheio de credenciais. Utilizando IDs e passwords de utilizador previamente expostos, os hackers puderam ter acesso às contas de utilizador, permitindo-lhes adquirir artigos digitais utilizando cartões armazenados. Conseguiram também visualizar dados sensíveis, incluindo nome, endereço de correio electrónico, data de nascimento, sexo e país.
Como Prevenir o Recheio Credencial
Senha Forte Segurança
Todos sabemos a importância de utilizar palavras-passe fortes e únicas, no entanto, de acordo com um recente inquérito de segurança realizado pelo Google, 65% das pessoas utilizam a mesma palavra-passe em várias contas.
Esta é uma prática extremamente arriscada, uma vez que os ataques de enchimento de credenciais dependem fortemente de nós, utilizando as mesmas velhas palavras-passe reutilizadas. Pode ser algo a que se continue a recorrer, mas vale a pena fazer uma limpeza digital e criar passwords únicas para cada uma das suas contas online.
Uma excelente forma de criar uma senha mais longa e mais complexa é utilizar uma frase-senha. Uma frase-senha é uma frase como uma cadeia de palavras que é memorável para si, mas difícil de decifrar para qualquer outra pessoa. A primeira letra de cada palavra formará a base da sua palavra-chave e as letras podem ser substituídas por números e símbolos para a tornar ainda mais segura.
Utilizar um Gestor de Senha
Se a ideia de lembrar várias palavras-passe o enche de pavor, então um gestor de palavras-passe pode ser a solução. Um gestor de senhas fornece uma localização centralizada e encriptada que manterá um registo seguro de todas as suas senhas.
Os gestores de senhas armazenam os detalhes de login de todos os sítios que utiliza e depois registam-no automaticamente cada vez que regressa a um sítio. O primeiro passo ao utilizar um gestor de palavra-passe é criar uma palavra-passe principal. A senha mestra controlará o acesso a toda a sua base de dados de senhas. Esta palavra-passe é a única que terá de lembrar, por isso é importante torná-la tão forte e segura quanto possível.
Os gestores de senhas também podem proteger contra ataques de phishing à medida que preenchem informações de conta com base nos seus endereços web registados. Isto significa que se pensar que está no website do seu banco, mas o gestor de senhas não o regista automaticamente, pode ter-se desviado inadvertidamente para um site de phishing.
Implementar a Autenticação Multi-Factor
A autenticação multi-factor, também conhecida como AMF, é uma das melhores formas de proteger a segurança das suas contas online. De facto, de acordo com a Microsoft, a sua conta tem mais de 99,9% menos probabilidades de ser comprometida se utilizar AMF.
Em vez de apenas confirmar a sua identidade com um simples nome de utilizador e senha, terá de fornecer dois ou mais factores de autenticação aos quais só você pode aceder. Isto reduz a possibilidade de um hacker poder ter acesso fácil às suas contas.
Existem muitas tecnologias de autenticação diferentes que podem ser usadas para confirmar a sua identidade e estas são geralmente baseadas em; algo que sabe, algo que tem, ou algo que é.
Alguns destes métodos de verificação são sem dúvida mais seguros do que outros mas essencialmente significa que mesmo que alguém roube ou adivinhe a sua palavra-chave, não poderá aceder à sua conta sem outro factor de autenticação.
Monitorizar e Bloquear Tentativas de Login Suspeitas
Quando os hackers tentam comprometer contas através de enchimento de credenciais, usam frequentemente bots ou outras ferramentas automatizadas para introduzir milhares de credenciais em sucessão rápida. Estas estão geralmente espalhadas por múltiplos endereços IP, o que torna difícil determinar se são tentativas legítimas de login ou sinais de um ataque coordenado.
Contudo, se houver várias tentativas de login falhadas durante um período de tempo relativamente curto, isto pode ser um sinal de que está a ocorrer um ataque de enchimento de credenciais. Para evitar que isto aconteça, os departamentos de TI podem estabelecer um limite para o número de tentativas de início de sessão que qualquer endereço IP pode fazer dentro de um determinado período de tempo. Podem também rastrear logins que resultem em fraude e colocar estes endereços IP na lista negra.
