Os maiores riscos do vazamento de credenciais e como mitigá-los

Infelizmente, está se tornando cada vez mais comum vermos notícias sobre vazamentos de credenciais em sites, que incluem dados como logins e senhas. Apesar da alta frequência desse tema na mídia, muitos gestores ainda não refletem sobre como essa “tendência” pode afetar a segurança de seus ambientes corporativos, resultando em prejuízos financeiros e danos à reputação.

Esse tipo de ataque, se aproveita do fato de que a maioria das pessoas reutiliza duas ou três senhas para diversos serviços digitais. Isso significa que, se uma senha for roubada em um site de compras, há uma grande chance de que a mesma senha possa ser usada para acessar outros serviços online.

Vale lembrar que, por natureza, muitos brasileiros são descuidados com suas senhas. Uma análise realizada pela empresa de cibersegurança NordPass, em parceria com pesquisadores especializados em incidentes de cibersegurança em 30 países, apontam que a senha “123456” ainda continua como a senha mais utilizada no Brasil.

Essa combinação de senhas fracas e o hábito de reutilizá-las cria uma situação perigosa tanto para empresas quanto para indivíduos. Assegurar senhas e logins e evitar vazamentos de credenciais tornou-se uma ação primordial no ambiente corporativo.

Diante dessa realidade, é fundamental entender os riscos que os vazamentos de credenciais podem representar para a segurança da informação nas empresas. Continue a leitura deste artigo e veja os perigos associados ao vazamento de credenciais e como sua empresa pode se proteger contra essa ameaça.

Conteúdo

O que é vazamento de credenciais:

O vazamento de credenciais é um método de ataque cibernético no qual criminosos utilizam listas de credenciais de usuários comprometidas para invadir sistemas. Esse ataque se baseia na automatização e escala por meio de bots, explorando a suposição de que muitas pessoas reutilizam os mesmos nomes de usuário e senhas em diversos serviços online.

Estatísticas indicam que cerca de 0,1% das credenciais vazadas e tentadas em outro serviço resultam em login bem-sucedido. O vazamento de credenciais se tornou uma ameaça cada vez mais preocupante por dois motivos principais:

  • Ampla disponibilidade de bancos de dados massivos com credenciais vazadas:
    Um exemplo é a “Coleção #1-5”, que tornou publicamente disponíveis 22 bilhões de combinações de nome de usuário e senha em texto puro para a comunidade hacker.
  • Bots mais sofisticados:
    Esses bots realizam tentativas simultâneas de login em várias contas e simulam origens a partir de diferentes endereços IP. Com isso, conseguem driblar medidas de segurança simples, como o bloqueio de IPs com muitas tentativas de login malsucedidas.

Principais fatores por trás do aumento do vazamento de credenciais

O vazamento de credenciais vem se tornando um risco cada vez maior por diversas razões:

  • Disponibilidade de credenciais:
    Nos últimos anos, bilhões de nomes de usuário e senhas foram roubados ou vazados. Essas credenciais são postadas para compra em mercados digitais na dark web e podem ser usadas como ponto de partida para ataques de vazamento de credenciais, bem como para uma série de outros ataques cibernéticos.

  • Avanços tecnológicos:
    Ataques de vazamento de credenciais utilizam bots ou outras ferramentas de automação inteligente para tentar fazer login em várias contas em questão de segundos. Como esses bots são programados para testar uma combinação específica de ID de usuário e senha, a ferramenta só tenta fazer login uma vez em um determinado sistema. Isso permite que a ferramenta contorne muitas medidas de segurança tradicionais, incluindo aquelas que bloqueiam endereços IP que têm muitas tentativas de login malsucedidas.

  • Baixa barreira de entrada:
    O nível de conhecimento técnico necessário para lançar um ataque de vazamento de credenciais é extremamente baixo, assim como o custo. Por valores irrisórios, é possível comprar uma conta comprometida na dark web e lançar um ataque de vazamento de credenciais.

  • Aumento do trabalho remoto:
    A pandemia de COVID-19 impulsionou o trabalho remoto e deixou muitas empresas despreparadas para defender uma rede distribuída. Os invasores têm explorado essa mudança e estão usando credenciais de contas pessoais para tentar acessar dispositivos e serviços corporativos.

  • Dificuldade de detecção:
    Em um ataque de vazamento de credenciais bem-sucedido, os invasores se passam por usuários legítimos, como funcionários, contratados ou até mesmo fornecedores terceirizados. Isso, somado à ausência de malware ou outros vetores de ataque, torna extremamente difícil detectar um ataque de vazamento de credenciais por meio das defesas tradicionais de cibersegurança.

Compreender essas causas é essencial para desenvolver estratégias eficazes de mitigação e garantir a segurança das informações corporativas e dos dados dos clientes.

Como funcionam os ataques de preenchimento de credenciais

Os ataques de preenchimento de credenciais são uma forma sofisticada de ataque cibernético que explora o uso de credenciais de login roubadas. Listamos abaixo como esses ataques geralmente funcionam em larga escala:

1. Configuração de Bots Automatizados:
O atacante configura um bot capaz de fazer login automaticamente em várias contas de usuário em paralelo. Esses bots são programados para simular diferentes endereços IP, evitando assim serem bloqueados por sistemas de segurança que monitoram tentativas de login repetidas a partir de um único IP.

2. Verificação de Credenciais Roubadas:
Em seguida, o atacante executa um processo automatizado para verificar se as credenciais roubadas funcionam em vários sites. Ao realizar esse processo em paralelo, os bots reduzem a necessidade de fazer login repetidamente em um único serviço, aumentando a eficiência do ataque.

3. Monitoramento de Logins Bem-Sucedidos:
Os bots monitoram logins bem-sucedidos e obtêm informações pessoais identificáveis, como dados de cartões de crédito ou outras informações valiosas das contas comprometidas. Esse acesso pode permitir que os invasores executem transações fraudulentas ou roubem informações sensíveis.

4. Retenção de Informações para Uso Futuro:
Depois de comprometer as contas, os atacantes retêm as informações das contas para uso futuro. Essas informações podem ser usadas em ataques de phishing ou outras transações habilitadas pelo serviço comprometido. A posse contínua dessas credenciais permite que os invasores explorem as contas comprometidas de várias maneiras ao longo do tempo.

Exemplo de Ataque:
Em um cenário de ataque real, um invasor pode usar um bot para testar uma lista de credenciais roubadas em um grande número de sites de e-commerce. Cada tentativa de login é feita com um endereço IP diferente para evitar a detecção. Se uma combinação de nome de usuário e senha funcionar, o invasor ganha acesso à conta, onde pode roubar informações de pagamento ou realizar compras não autorizadas. As credenciais válidas são então armazenadas para futuros ataques ou vendidas na dark web.

Vazamento de credenciais

Impactos de um vazamento de credenciais:

Os vazamentos de credenciais representam uma das ameaças mais graves no cenário de cibersegurança atual, causando danos significativos tanto para indivíduos quanto para empresas. Os impactos de tais incidentes são vastos e podem se manifestar de diversas maneiras:

  1. Perdas Financeiras Significativas:
    Vazamentos de credenciais podem levar a perdas financeiras diretas, como fraudes e transações não autorizadas. Empresas podem enfrentar custos elevados para mitigar os danos, incluindo investigações, notificações de violação, e implementações de novas medidas de segurança. O Brasil, por exemplo, liderou o ranking global de países com maior volume de dados comprometidos em 2023, o que destaca a gravidade do problema e seus impactos econômicos.

  2. Danos à Reputação:
    Empresas que sofrem vazamentos de credenciais enfrentam danos significativos à sua reputação. A confiança dos clientes pode ser abalada, resultando em perda de negócios e dificuldade para atrair novos clientes. O maior vazamento de dados da história, ocorrido em janeiro de 2024 e conhecido como “Mãe de Todos os Vazamentos” (MOAB), expôs aproximadamente 26 bilhões de registros, incluindo dados de usuários de plataformas como LinkedIn e Twitter, exemplificando o potencial de danos reputacionais em larga escala.

  3. Impacto no Setor Público:
    Vazamentos de credenciais não afetam apenas o setor privado, mas também o público. Em 2021, estima-se que 16 mil dados de funcionários públicos de órgãos federais, estaduais e municipais no Brasil foram vazados na internet. Isso pode comprometer a segurança nacional e a privacidade de informações governamentais sensíveis.

Quais são os setores mais afetados com o vazamento de credenciais:

De acordo com um relatório da IBM Security sobre o prejuízo de um vazamento de dados em 2020, os setores mais afetados por essas violações incluem:

1. Saúde:
O setor de saúde lidera a lista dos mais afetados por vazamentos de credenciais. As informações sensíveis dos pacientes, como dados médicos e históricos de saúde, são altamente valiosas no mercado negro, tornando esse setor um alvo atraente para os cibercriminosos.

2. Energia:
Empresas do setor de energia enfrentam riscos elevados devido à natureza crítica de suas operações. Vazamentos de credenciais podem permitir acesso não autorizado a sistemas de controle e infraestrutura, potencialmente causando interrupções significativas e riscos à segurança nacional.

3. Financeiro:
O setor financeiro é um dos mais visados por cibercriminosos devido ao acesso direto a fundos e informações financeiras. Vazamentos de credenciais podem resultar em fraudes financeiras, roubo de identidade e perda de confiança dos clientes.

4. Farmacêutico:
Empresas farmacêuticas lidam com dados confidenciais de pesquisa e desenvolvimento, além de informações de pacientes. Vazamentos de credenciais nesse setor podem comprometer a propriedade intelectual e causar prejuízos financeiros significativos.

5. Tecnologia:
O setor de tecnologia é um alvo frequente devido ao seu papel central na inovação e no desenvolvimento de soluções digitais. Vazamentos de credenciais podem expor dados proprietários e causar danos à reputação das empresas.

Como detectar e prevenir o vazamentos de credenciais:

Embora algumas práticas tradicionais de segurança, como exigir senhas fortes e monitorar tentativas múltiplas de login sejam importantes contra o vazamento de credenciais, elas possuem uma eficácia “limitada”. No entanto, existem medidas efetivas que as empresas podem tomar para prevenir esse tipo de ataque e minimizar seus impactos.

  1. Ative a autenticação multifator (MFA):
    Habilitar a autenticação multifator (MFA) como WatchGuard AuthPoint MFA que citamos em nosso último artigo, faz com que todos os usuários utilizem mais de um método para comprovar sua identidade. Isso pode incluir uma combinação de credenciais de conta tradicionais, token de segurança via SMS ou aplicativo autenticador, ou verificação biométrica. Empresas que adotam a MFA ficam muito mais protegidas contra vazamento de credenciais, pois os invasores geralmente só possuem as credenciais da conta, inúteis sem um segundo fator de autenticação.

     

  2. Realize uma higiene de TI:
    Outra medida efetiva é contar com ferramentas
    como o Imperva WAF Gateway, que fornece visibilidade sobre o uso de credenciais na organização, auxiliando na detecção de atividades administrativas potencialmente maliciosas. O recurso de monitoramento de contas permite que equipes de segurança verifiquem a presença de contas criadas por invasores para manter acesso ao sistema e também ajuda a garantir a troca regular de senhas, tornando credenciais roubadas inutilizáveis em pouco tempo.

     

  3. Adote uma busca proativa de ameaças:
    A caça proativa a ameaças, permite uma busca 24/7 por ataques desconhecidos e furtivos que utilizam credenciais roubadas e se disfarçam como usuários legítimos. Essas são as investidas que medidas padrão podem deixar passar. Porém, com a expertise adquirida no combate diário contra atores sofisticados de ameaças persistentes avançadas (APTs), a Rainforest busca e rastreia milhões de indícios diariamente para validar se são legítimos ou maliciosos, alertando os clientes quando necessário.

Suspeita que sua empresa está no radar dos invasores?

Assegure a continuidade dos seus negócios e a segurança dos seus dados com as melhores soluções de cibersegurança do mercado. Fale com um de nossos especialistas.