Ataques cibernéticos baseados em senhas

As senhas se tornaram uma parte indispensável da arquitetura de segurança de TI devido à sua simplicidade e familiaridade. Embora existam muitos outros métodos de autenticação, a maioria das aplicações, sites e organizações utiliza senhas como principal fator na verificação de identidade. Assim, não é surpreendente que os hackers utilizem diferentes tipos de ataques cibernéticos, tanto online quanto offline, que têm como alvo as senhas e tenham aperfeiçoado a eficiência de seus ataques a um nível alarmante.

8 ataques cibernéticos comuns baseados em senhas

1. Phishing

O phishing é um tipo de ataque cibernético em que um invasor tenta obter dados confidenciais dos usuários por meio de um e-mail, site ou mensagem de texto aparentemente inofensiva. Em um ataque de phishing, uma página de login falsa é enviada à vítima, geralmente por meio de um e-mail que se assemelha a um e-mail legítimo. Assim que o usuário insere suas credenciais, o invasor obtém esses dados e os utiliza para invadir a conta do usuário.

Esse tipo de ataque é amplamente utilizado para roubar informações de cartões de crédito. Um dos indicadores mais comuns de um ataque de phishing é o tom alarmista da mensagem. Alguns exemplos dessas mensagens incluem “sua senha está prestes a expirar” e “o acesso à sua conta será bloqueado se não cumprir as instruções”.

Uma versão mais direcionada é o spear phishing, em que os invasores dedicam tempo pesquisando um indivíduo específico com antecedência. Entre todos os outros crimes cibernéticos, o phishing se destaca como o mais comum, com 3,4 bilhões de e-mails de spam enviados todos os dias. Em média, 1,4 milhão de sites de phishing também são criados todos os meses.

2. Ataques de força bruta

Um ataque de força bruta é um método simples e tradicional de violação de senhas que ainda se mostra eficaz, pois muitos usuários não definem senhas fortes. Nesse tipo de ataque, o hacker tenta adivinhar a senha do usuário testando repetidamente diferentes combinações até encontrar a combinação correta. Se o usuário tiver definido uma senha comum, é provável que ela seja decifrada em questão de milissegundos.

Aqui está uma lista de senhas comuns e o tempo que leva para quebrá-las:

Fonte: Lista das senhas mais comuns do NordPass

Um ataque de força bruta contra a Dunkin' Donuts, que teve como alvo as contas dos clientes, permitiu que os invasores obtivessem acesso a mais de 19.000 contas de usuários e roubassem milhares de dólares. Isso resultou ainda em multas e indenizações no valor de US$ 650.000 para resolver uma ação judicial.

3. Ataque de pulverização de senhas

O ataque de pulverização de senhas é um tipo de ataque de força bruta no qual o hacker primeiro testa uma senha escolhida em todas as contas disponíveis em uma determinada plataforma e, em seguida, passa para a próxima senha. Dessa forma, ele pode obter acesso a muitas contas de usuários dentro de uma organização. O sucesso desse ataque é determinado pela força das senhas dos usuários. Em janeiro de 2024, a Microsoft admitiu que um ataque de pulverização de senhas foi usado para comprometer uma conta de locatário de teste. O agente malicioso, identificado como Midnight Blizzard, usou as permissões da conta para acessar uma pequena porcentagem das contas de e-mail corporativas.

4. Ataques de dicionário

Um ataque de dicionário é outro tipo de ataque de força bruta no qual o hacker testa todas as palavras de um dicionário para descobrir a senha de um usuário. Essa técnica é eficaz, pois muitos usuários definem palavras comuns em inglês como senha.

Os invasores utilizam palavras comuns com substituições de caracteres (por exemplo, 1 no lugar de L e 3 no lugar de E), bem como dicionários de senhas que contêm senhas que já foram vazadas. Na violação de dados da SolarWinds, hackers russos conseguiram fazer login em um servidor de atualização adivinhando a senha do administrador, solarwinds123.

Assim que obtiveram acesso, um backdoor foi instalado e ativado quando os clientes atualizaram seu software.

5. Credential stuffing

O credential stuffing (reutilização de credenciais vazadas) é semelhante a um ataque de força bruta, com a diferença de que utiliza um conjunto de senhas já comprometidas para invadir as contas dos usuários. Isso funciona porque muitas pessoas usam a mesma senha em várias plataformas.

Em 2022, o PayPal sofreu um ataque de credential stuffing que afetou mais de 34.000 de seus usuários. Isso permitiu que os hackers obtivessem acesso aos nomes, datas de nascimento e números de segurança social dos titulares das contas. O PayPal tomou medidas imediatas para restringir o acesso e redefinir as senhas das contas.

6. Ataque de rainbow table

Um ataque de rainbow table é um método que tem como alvo os hashes de senhas. Em vez de tentar todas as combinações possíveis de senhas por força bruta, os invasores utilizam tabelas pré-calculadas que contêm milhões de senhas em texto simples e seus respectivos valores de hash. Ao comparar o hash roubado com os valores da tabela, eles conseguem determinar rapidamente a senha original, contornando a segurança habitual do armazenamento com hash.

No ataque ao LinkedIn em 2012, cibercriminosos russos obtiveram acesso a um banco de dados contendo mais de 6,5 milhões de senhas com hash. Utilizando rainbow table, eles conseguiram decifrar as senhas e divulgá-las online, que acabaram sendo colocadas à venda em um site de hackers em 2016.

7. Ataque do tipo “man-in-the-middle”

Um ataque do tipo “man-in-the-middle” (MITM) ocorre quando um invasor se posiciona entre duas partes que estão se comunicando, fazendo-se passar por ambas para interceptar as mensagens. Isso permite que o invasor leia, modifique ou até mesmo roube as informações que estão sendo trocadas sem que ninguém perceba.

Isso geralmente é feito para obter acesso a dados confidenciais, como senhas ou números de cartão de crédito. A KLAYswap, uma plataforma de câmbio de criptomoedas, foi vítima de um sequestro de BGP no qual o fluxo da rede foi comprometido. Os invasores configuraram o sistema para enviar um código malicioso aos usuários ao tentarem baixar um SDK. Isso resultou em um prejuízo de cerca de 1,9 milhão de dólares para a empresa.

8. Ataque de keylogger

Um ataque de keylogger envolve softwares maliciosos ou dispositivos de hardware que registram secretamente cada tecla digitada pelo usuário em seu dispositivo. Esses dados capturados, como senhas e números de cartão de crédito, são então transmitidos para o servidor remoto do invasor. Os keyloggers costumam ser instalados por meio de e-mails de phishing, malware ou acesso físico ao dispositivo.

Eles representam uma ameaça significativa, pois roubam informações confidenciais silenciosamente, possibilitando roubo de identidade, fraudes financeiras e outros crimes cibernéticos.

Um malware com funcionalidade de keylogging conhecido como Agent Tesla tem atacado sistemas Windows desde 2014. Frequentemente distribuído por e-mails de phishing, ele foi usado em inúmeros ataques em todo o mundo. Um exemplo foi a campanha de phishing relacionada à COVID-19, durante a qual e-mails disfarçados como agendas de vacinação continham o malware oculto como anexo.

Combata ataques cibernéticos baseados em senhas com o ADSelfService Plus

O ADSelfService Plus é uma solução de segurança de identidade com MFA adaptativa e recursos de gerenciamento de senhas. Com o ADSelfService Plus, você pode:

Impor senhas fortes: o Password Policy Enforcer no ADSelfService Plus permite restringir palavras do dicionário, padrões e repetições. Você pode incluir seu próprio dicionário de senhas proibidas, além do predefinido. Além disso, é possível banir senhas comprometidas por meio da integração do ADSelfService Plus com o Have I Been Pwned. Isso oferece imunidade contra ataques de credential stuffing e de força bruta.

Implementar MFA: escolha entre 20 fatores de autenticação diferentes, como biometria e chaves de acesso FIDO para fortalecer as contas de usuário contra vários tipos de ataques cibernéticos, incluindo ataques de força bruta e phishing. Mesmo que a senha de um usuário seja comprometida, o hacker não conseguirá invadir a conta sem os outros fatores de autenticação.

Implementar CAPTCHA: torne as capacidades dos bots inúteis para vários tipos de ataques de força bruta e credential stuffing com CAPTCHAs personalizáveis.

Restringir IPs: a maioria dos agentes de ameaças usa repetidamente endereços IP de um conjunto limitado para facilitar ataques cibernéticos. Crie uma lista de bloqueio de IPs com o recurso de acesso condicional do ADSelfService Plus para bloquear endereços IP envolvidos em violações de dados.

Simplifique a conformidade: gerencie senhas com eficiência e obtenha relatórios completos sobre os últimos logins, senhas expiradas, contas bloqueadas, falhas na verificação de identidade e muito mais, para garantir a conformidade com regulamentações como SOX, HIPAA e PCI DSS.

Artigo traduzido. Conteúdo original escrito por Andrew Prasanna.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.