Credenciais comprometidas ocorrem quando seus detalhes de login foram roubados ou acessados por pessoas não autorizadas. Normalmente, as credenciais comprometidas incluem nomes de usuário, senhas, perguntas de segurança e outros detalhes confidenciais usados para verificar a identidade de um usuário e obter acesso a contas e sistemas.
Os riscos associados a credenciais comprometidas são graves. As credenciais de login podem ser utilizadas indevidamente para se passar por usuários legítimos, obter acesso não autorizado a dados e contas confidenciais, usá-los para movimento lateral ataques, instalar malware, roubar fundos e muito mais. Credenciais comprometidas são um dos vetores de ataque mais comuns em violações de dados.
Causas comuns de credenciais comprometidas
Existem algumas maneiras comuns pelas quais as credenciais são comprometidas:
- Ataques de phishing: e-mails de phishing contendo links ou anexos maliciosos são usados para induzir os usuários a inserir seus dados de login em sites falsificados que capturam suas informações.
- Malware de keylogging: o malware instalado no dispositivo de um usuário rastreia e registra as teclas pressionadas, capturando nomes de usuário, senhas e outros dados confidenciais.
- Violações de dados: quando um serviço é violado, as credenciais do usuário e outras informações pessoais são frequentemente comprometidas e roubadas. Os invasores usarão então as credenciais roubadas para acessar outras contas e sistemas.
- Reutilização de senhas: quando um usuário usa a mesma senha em muitas de suas contas e ocorre uma violação onde as credenciais desse usuário foram comprometidas, isso pode fazer com que todas as outras contas que usam essa senha também sejam comprometidas.
- Engenharia social: Engenheiros sociais qualificados manipulam a psicologia humana para convencer os alvos a compartilhar credenciais de login confidenciais pessoalmente, por telefone ou online.
Em resumo, as credenciais comprometidas representam uma ameaça grave e medidas proativas devem ser tomadas tanto por indivíduos como por organizações para prevenir e mitigar os riscos associados ao roubo de detalhes de login. Com credenciais comprometidas, o acesso não autorizado geralmente está a apenas um login de distância.
Como as credenciais são comprometidas
As credenciais são roubadas ou comprometidas de diversas maneiras comuns:
- Ataques de phishing: e-mails de phishing enganam os usuários para que insiram suas credenciais de login em sites falsificados. As credenciais são então roubadas. O phishing é uma das principais causas de credenciais comprometidas.
- Violação de dados: quando as empresas enfrentam violações de dados que expõem os dados dos clientes, as credenciais de login são frequentemente roubadas. As credenciais podem então ser vendidas na dark web e usadas para acessar outras contas.
- Senhas fracas: Senhas fáceis de adivinhar ou reutilizadas tornam as contas um alvo fácil. Depois que uma senha for comprometida em um site, os invasores tentarão usar a mesma senha em outros sites populares.
- Malware de registro de teclas: Malwares como keyloggers podem ser usados para roubar teclas digitadas e capturar credenciais de login. Os dados roubados são então transmitidos de volta aos invasores.
- A engenharia social: Engenheiros sociais qualificados manipulam a psicologia humana para convencer os alvos a compartilhar credenciais de login confidenciais pessoalmente, por telefone ou digitalmente.
Alguns exemplos bem conhecidos de credenciais comprometidas incluem:
- Violação RockYou2024: Este incidente envolveu o vazamento de impressionantes 10 bilhões de credenciais, tornando-se um dos maiores despejos de senhas da história. Embora o grande volume de dados seja alarmante, os especialistas salientaram que muitos dos dados podem não ser imediatamente úteis para os atacantes devido à presença de informações desatualizadas ou irrelevantes. No entanto, a violação serve como um forte lembrete dos perigos da reutilização de senhas e da necessidade de uma forte autenticação práticas, incluindo autenticação multifator (Daily Security Review).
- Violação de contas executivas da Microsoft: No início de 2024, um ator de ameaça alinhado à Rússia conseguiu violar as contas de e-mail corporativas da Microsoft, incluindo as da liderança sênior e das equipes de segurança cibernética. Essa violação foi facilitada pela exploração de uma conta herdada que não possuía autenticação multifator. Os invasores conseguiram exfiltrar comunicações confidenciais por e-mail entre a Microsoft e várias agências federais dos EUA (CRN).
- Violação de dados da Okta: Em outubro de 2023, a Okta, um provedor líder de serviços de identidade, divulgou que um agente de ameaça havia acessado seu sistema de suporte ao cliente usando credenciais roubadas. O ataque permitiu acesso não autorizado a casos de suporte ao cliente, sublinhando os riscos associados a credenciais comprometidas, mesmo em sistemas concebidos para gerir e proteger identidades de utilizadores
- Em 2019, a empresa de testes de DNA 23andMe anunciou que alguns dados de clientes, incluindo informações de login, foram acessados devido a uma violação de segurança.
- Em 2018, a Nintendo Network da Nintendo sofreu uma violação que comprometeu mais de 300,000 mil contas. As credenciais de login foram roubadas e usadas para fazer compras fraudulentas.
- Em 2016, uma violação de dados no PayPal expôs mais de 1.6 milhão de registros de clientes, incluindo credenciais de login, nomes, endereços de e-mail e muito mais.
Credenciais comprometidas são uma ameaça séria e a proteção de contas exige vigilância em relação a phishing, senhas fortes e exclusivas, Autenticação multifatorial e monitorar contas regularmente em busca de sinais de fraude. Com cuidado e conscientização, os riscos podem ser reduzidos.
Os perigos das credenciais comprometidas
Credenciais comprometidas representam sérios riscos para organizações e indivíduos. Depois que as credenciais de login forem roubadas, os invasores poderão acessar dados e sistemas confidenciais, possibilitando uma série de atividades maliciosas.
De acordo com o Relatório de investigações de violação de dados de 2020 da Verizon, mais de 80% das violações relacionadas a hackers aproveitaram senhas roubadas e/ou fracas. Os impactos desses ataques baseados em credenciais incluem:
- Violações de dados: Com acesso a contas e sistemas, os invasores podem roubar dados confidenciais, como informações de clientes, registros de funcionários e propriedade intelectual, usando recheio de credenciais ataques.
- Perdas financeiras: atores maliciosos podem transferir fundos, fazer compras não autorizadas ou cometer fraudes de pagamento usando acesso roubado a contas.
- Danos à reputação: Violações de dados e aquisições de contas podem prejudicar a confiança do cliente e a reputação da marca.
- Controle de contas: os invasores podem sequestrar contas online para spam, fraude e outras atividades maliciosas. Contas de redes sociais comprometidas são comumente utilizadas para espalhar malware e desinformação.
Embora os indivíduos devam usar senhas exclusivas e complexas e habilitar a autenticação multifatorial sempre que possível, as organizações também devem implementar políticas de acesso e controles de segurança fortes. Mudanças frequentes de senha, monitoramento de contas e educação de funcionários podem ajudar a reduzir os riscos associados a credenciais comprometidas.
Detectando credenciais comprometidas
Para detectar credenciais comprometidas, as organizações empregam sistemas de Entidade de Usuário e Análise Comportamental (UEBA) que monitoram a atividade e o comportamento do usuário para identificar anomalias.
As soluções da UEBA analisam dados de log de diversas fontes, como dispositivos de rede, sistemas operacionais e aplicativos, para criar uma linha de base da atividade normal do usuário. Quaisquer desvios dos padrões estabelecidos podem indicar credenciais ou contas comprometidas.
As plataformas de gerenciamento de informações e eventos de segurança (SIEM) também auxiliam na detectando credenciais comprometidas agregando e analisando logs de segurança de vários sistemas da organização. As ferramentas SIEM usam correlação e análise de log para identificar tentativas suspeitas de login, alterações de localização e escalonamentos de privilégios que podem apontar para contas comprometidas.
Monitoramento contínuo de contas de usuário e eventos de autenticação são cruciais para a detecção precoce de credenciais comprometidas.
Adaptativo e autenticação baseada em risco métodos fornecem camadas adicionais de segurança que ajudam a identificar o acesso não autorizado. Exigir autenticação multifator, especialmente para contas privilegiadas, torna mais difícil para os invasores explorarem senhas comprometidas. O monitoramento de tentativas de login com falha excessiva, sinais de ataques de força bruta e outras campanhas de preenchimento de credenciais também ajuda a detectar contas comprometidas antes que sejam utilizadas indevidamente.
Prevenindo ataques de credenciais comprometidas
Para evitar ataques de credenciais comprometidas, as organizações devem implementar políticas e controles de segurança rigorosos.
Autenticação multifator (MFA) adiciona uma camada extra de proteção para contas de usuários, identidades não humanas e sistemas. Exigir fatores como senhas de uso único, chaves de segurança ou biometria, além de senhas, torna as contas mais difíceis de comprometer.
A proibição de senhas expostas anteriormente impede que os usuários selecionem senhas já conhecidas pelos invasores. Usando listas negras de senhas comprometidas, as organizações podem impedir que os funcionários escolham senhas facilmente adivinhadas ou reutilizadas.
O monitoramento contínuo de credenciais expostas na dark web e a quebra de senhas permitem uma resposta rápida. O monitoramento de despejos de senhas e dados violados permite que as equipes de segurança identifiquem contas comprometidas, forcem redefinições de senhas e habilitem MFA.
A realização regular de simulações de phishing e treinamento de conscientização de segurança ajuda a educar os funcionários sobre como reconhecer e evitar e-mails de phishing e sites maliciosos que visam roubar credenciais de login. Explicar os riscos do compartilhamento excessivo nas redes sociais e da reutilização de senhas entre contas cria bons hábitos de segurança e uma cultura de vigilância.
O uso de CAPTCHAs, ou testes automatizados que os humanos podem passar, mas os computadores não, adiciona uma camada extra de autenticação para logins e acesso à conta. Os CAPTCHAs evitam que bots e scripts automatizados tentem acessar sistemas usando conjuntos de credenciais roubados obtidos em violações de dados.
Adotar e aplicar políticas de senhas fortes que exigem senhas longas e complexas alteradas com frequência é uma das melhores maneiras de dificultar a obtenção e o uso de credenciais comprometidas.
Estratégias de mitigação para credenciais comprometidas
Depois que as credenciais comprometidas forem identificadas, há diversas estratégias de mitigação que podem ser empregadas para reduzir o risco.
Resetar a senha
A maneira mais eficaz de mitigar credenciais comprometidas é redefinir imediatamente as senhas dos usuários. A redefinição de senhas das contas afetadas evita que invasores acessem sistemas e dados usando informações de login roubadas.
Ativar autenticação multifator
A ativação do MFA adiciona uma camada extra de proteção para contas de usuários. A MFA requer não apenas uma senha, mas também outro método de autenticação, como um código de segurança enviado ao dispositivo móvel do usuário. Mesmo que um invasor obtenha a senha de um usuário, ele também precisará verificar sua identidade no celular do usuário para fazer login.
Monitore contas em busca de atividades suspeitas
Monitorar de perto contas comprometidas em busca de sinais de logins ou atividades suspeitas pode ajudar a detectar acesso não autorizado. As equipes de segurança devem verificar os horários de login, locais e endereços IP da conta em busca de anomalias que possam indicar que um invasor está usando credenciais roubadas para acessar a conta. Detectar rapidamente o acesso não autorizado pode ajudar a limitar os danos causados por credenciais comprometidas.
Fornece treinamento adicional
Credenciais comprometidas geralmente são resultado de senhas fracas ou reutilizadas, phishing ou outros ataques de engenharia social. Fornecer treinamento regular de conscientização e educação sobre segurança ajuda a educar os usuários sobre as melhores práticas de senha, identificação de phishing e outros tópicos para ajudar a reduzir o risco de comprometimento. Foi demonstrado que o treinamento adicional e as campanhas simuladas de phishing melhoram significativamente a postura de segurança ao longo do tempo.