Às vezes facilmente acessadas em fóruns da internet ou apps, suas senhas podem te deixar vulnerável a ataques cibernéticos
Nem todos dão a devida atenção a esse assunto, mas nossas senhas podem ser justamente os elementos que nos deixam vulneráveis a ataques de criminosos virtuais. Especialista no assunto, Frank Vieira (Head of Research and Development da Apura Cyber Intelligence) explica que tais criminosos nem sempre agem de forma tão meticulosa e ousada, como vemos nos filmes. Em muitos casos, eles não precisam “invadir” uma base de dados – basta fazerem o login no serviço utilizando senhas de terceiros.
O expert se baseia no que vê diariamente no BTTng, plataforma de threat intel e antifraude da Apura. Milhões de senhas e chaves de API são coletadas diariamente pela plataforma e as credenciais roubadas acabam sendo um dos meios mais eficientes usados por atores de ameaça para acessar os sistemas das vítimas, normalmente performados de maneira simples com pouca dificuldade e sofisticação.
Segundo o relatório Data Breach Investigations Report (DBIR) da Verizon de 2022, cerca de 50% dos incidentes investigados tiveram relação com credenciais roubadas. Tanto que o BTTng tem um painel exclusivo para credenciais. Esta funcionalidade permite que os clientes consultem se credenciais pertencentes às suas organizações figuram entre os muitos vazamentos ocorridos no passado ou foram identificadas sendo vendidas em mercados ilegais. Embora o painel de credenciais não tenha nem um ano de existência, o número de credenciais recuperadas surpreende: 6 bilhões.
CREDENCIAIS VAZADAS
Para mensurar esse cenário, a plataforma se serve de milhares de robôs que coletam milhões de informações de forma constante em mais de 200 tipos de fontes primárias distintas, alimentando uma base de dados. E nessa base de dados não é incomum encontrar senhas e chaves de API que podem ser usadas para fomentar os ataques em aplicativos e plataformas que exijam login.
Um ataque cibernético que utiliza credenciais vazadas pode ocorrer de várias maneiras, mas geralmente envolve um invasor tentando acessar uma conta utilizando um nome de usuário e senha que foram previamente obtidos por meio de um vazamento de dados ou roubo de informações. Outra forma de acesso às contas é o uso de “ataques de força bruta”, em que o invasor tenta usar uma lista de nomes de usuário e senhas vazados em massa, ou gerados por meio de programas automatizados, para tentar obter o acesso a uma conta específica.
Há, ainda, uma técnica bastante utilizada e conhecida como phishing, em que o invasor envia um e-mail ou mensagem de texto falsos que parecem vir de um serviço legítimo, solicitando que o destinatário clique em um link e insira suas credenciais de login. Se o usuário fornecer as informações, o invasor poderá usá-las para acessar a conta do usuário e realizar ações maliciosas.
AUTENTICAÇÃO MULTIFATOR
Ainda segundo o especialista, certos procedimentos podem evitar ataques, caso seus dados tenham sido vazados. Para evitar que suas credenciais sejam usadas em um ataque cibernético, é importante usar senhas fortes e exclusivas para cada conta, trocando-as com frequência e não usando datas ou qualquer outro tipo de informação que seja facilmente rastreável.
“O ideal é usar um gerenciador de senhas, ninguém consegue manter senhas fortes e exclusivas sem isso, e com ele as senhas já são completamente aleatórias sem nenhuma relação com qualquer dado”, prossegue Vieira. Ele ainda recomenda a utilização da MFA (autenticação multifator), que adiciona uma validação adicional além da senha ao acessar o aplicativo ou conta, como leitura de impressão digital ou código recebido por telefone.
Dessa maneira, caso sua senha tenha sido vazada, o hacker não terá o acesso, pois o segundo passo da verificação dependerá da sua autorização. Fique atento a e-mails e mensagens suspeitas que possam solicitar informações pessoais ou de login. Além disso, é importante manter seu software e sistemas atualizados com as últimas correções de segurança para minimizar a probabilidade de ataques bem-sucedidos.
Essa e outras matérias interessantes estão na edição 206 da Áudio & Vídeo – Design e Tecnologia. Acesse gratuitamente e boa leitura!
