O roubo de credenciais refere-se ao roubo das credenciais de login de alguém, como nomes de usuário e senhas. Os cibercriminosos usam o credenciais comprometidas para obter acesso a dados e contas valiosas, permitindo roubo de identidade e fraude financeira.
Depois que os cibercriminosos tiverem acesso às credenciais comprometidas, eles poderão fazer login nas contas e tentar mover-se lateralmente pelo ambiente de uma organização. Para as organizações, o roubo de credenciais pode levar ao comprometimento de contas comerciais, roubo de propriedade intelectual e danos à reputação.
Existem algumas maneiras comuns de os ladrões roubarem credenciais:
- E-mails de phishing e sites maliciosos: atores maliciosos enganam as vítimas para que insiram suas credenciais em páginas de login falsificadas ou instalam malware.
- Software de keylogging: o malware rastreia as teclas pressionadas pelas vítimas e captura seus nomes de usuário e senhas.
- Ataques de força bruta: o software automatiza a adivinhação de senhas para acessar contas.
- Violações de bancos de dados: quando os bancos de dados das empresas são hackeados, os ladrões acessam e roubam as credenciais dos clientes.
- Espionagem de Wi-Fi: os ladrões acessam redes Wi-Fi públicas para visualizar as credenciais que as vítimas inserem em sites e aplicativos.
Para reduzir a ameaça de roubo de credenciais, os indivíduos devem permitir autenticação nas contas, quando disponíveis, use senhas complexas exclusivas e tenha cuidado com tentativas de phishing. As organizações devem aplicar políticas de senhas fortes, limitar o acesso a dados confidenciais, monitorar violações de bancos de dados e fornecer treinamento regular em segurança cibernética aos funcionários.
Métodos que os cibercriminosos usam para roubo de credenciais
O roubo de credenciais refere-se ao ato de roubar e comprometer as credenciais de login de um usuário, como nomes de usuário e senhas, para obter acesso não autorizado a dados e contas confidenciais. Atores maliciosos usam vários métodos para roubar credenciais, incluindo:
Phishing e Spear Phishing
Os ataques de phishing envolvem o envio de e-mails fraudulentos se passando por uma empresa legítima para induzir as vítimas a inserir suas credenciais de login em um site falso. O spear-phishing tem como alvo indivíduos ou grupos específicos com mensagens personalizadas que tendem a ser de amigos ou colegas da pessoa. Essas técnicas são comumente usadas para roubar credenciais.
Keylogging e malware
O software de keylogging e o malware monitoram e registram discretamente as teclas pressionadas em um teclado, capturando credenciais de login e outros dados confidenciais. Os cibercriminosos então acessam as informações capturadas para obter acesso a contas e redes.
Engenharia social
Os ataques de engenharia social baseiam-se na manipulação de pessoas para que divulguem informações confidenciais, como senhas. Os invasores cibernéticos podem ligar, enviar e-mail ou enviar mensagens de texto se passando por suporte técnico ou colega para induzir as vítimas a compartilharem credenciais sob falsos pretextos.
Ataques de força bruta
Os ataques de força bruta funcionam inserindo inúmeras combinações de senhas na tentativa de adivinhar as credenciais de login corretas. Embora seja demorado e com computadores e algoritmos poderosos, os criminosos podem quebrar senhas fracas. Usar senhas fortes e exclusivas ajuda a prevenir esses ataques.
Roubo de banco de dados
Alguns criminosos invadem bancos de dados contendo nomes de usuários, senhas e outros registros privados. O banco de dados roubado é então usado para acessar contas e perfis associados. As violações de dados expuseram bilhões de credenciais, portanto a reutilização de senhas apresenta sérios riscos.
Tipos de credenciais direcionadas
O roubo de credenciais refere-se ao roubo de credenciais de login, como nomes de usuário, senhas e números de contas. Esses pontos de dados confidenciais permitem acesso a contas e sistemas online. Os cibercriminosos que obtêm credenciais roubadas podem comprometer contas para roubar dinheiro e informações pessoais ou instalar malware.
senhas
As senhas são um alvo comum de roubo de credenciais. Técnicas de hacking como phishing, keylogging e ataques de força bruta são usadas para obter senhas. Depois que as senhas são roubadas, os criminosos as testam em outras contas pertencentes à vítima, como e-mail, bancos e redes sociais. A reutilização de senhas e senhas fracas e fáceis de adivinhar aumentam a probabilidade de sucesso desse tipo de roubo de credenciais.
Números de conta
Contas bancárias, cartões de crédito e números de apólices de seguro também são alvos valiosos. Esses números fornecem acesso direto a fundos e contas. Os números de contas são frequentemente obtidos através de violações de bancos de dados, roubo de dispositivos em caixas eletrônicos e postos de gasolina ou roubo de extratos financeiros e documentos da caixa de correio física ou digital.
Questões de segurança
As respostas para perguntas de segurança da conta, como “Qual é o nome de solteira da sua mãe?” ou “Qual era o nome do seu primeiro animal de estimação?” são credenciais que são frequentemente visadas. Essas perguntas têm como objetivo verificar a identidade de alguém por telefone ou online, para que as respostas possam ser usadas para invadir contas. Os criminosos obtêm as respostas através de phishing, engenharia social e vasculhando os perfis das pessoas nas redes sociais.
Dados biométricos
Credenciais biométricas, como impressões digitais, dados de reconhecimento facial e varreduras de retina, estão se tornando mais comumente usadas para autenticar identidades e acessar contas. No entanto, as credenciais biométricas também podem ser roubadas e usadas por criminosos para se passarem por vítimas. Fotos e imagens de impressões digitais vazaram em violações de dados, e os pesquisadores demonstraram como os sistemas de reconhecimento facial podem ser enganados usando fotos e máscaras impressas em 3D. Embora a autenticação biométrica seja conveniente, nenhuma credencial é infalível se for roubada.
Impactos do roubo de credenciais
O roubo de credenciais tem consequências graves para indivíduos e organizações. Depois que os cibercriminosos roubam as credenciais de login, eles obtêm acesso não autorizado que pode ser usado para diversos fins maliciosos.
Violações de dados
Com credenciais roubadas, os invasores podem acessar dados confidenciais armazenados em redes e sistemas. Eles podem visualizar ou roubar segredos comerciais, informações de clientes, registros de funcionários e outros dados confidenciais. Esses tipos de violações podem prejudicar a reputação de uma empresa, violar as leis de privacidade e minar a confiança do cliente.
Movimento lateral
O acesso a um conjunto de credenciais comprometidas dá aos hackers uma base para se moverem lateralmente na rede em busca de acesso e controle adicionais. Eles podem usar o roubo de credenciais para passar de usuário para usuário ou de sistema para sistema, eventualmente obtendo acesso de administrador. A partir daí, eles têm controle sobre todos os recursos da rede.
Ataques de Ransomware
Os hackers frequentemente implantam ataques de ransomware depois de obterem acesso à rede por meio de credenciais roubadas (usando recheio de credenciais, por exemplo). Depois de terem acesso de administrador, eles podem criptografar arquivos e sistemas em toda a rede e exigir o pagamento de um resgate para descriptografá-los. Esses ataques podem paralisar as operações por dias ou semanas e resultar em perdas financeiras significativas.
Tomada de conta
Com o nome de usuário e a senha de alguém em mãos, os cibercriminosos podem acessar contas online e se passar pelo legítimo proprietário da conta. Eles podem realizar transações fraudulentas, roubar dinheiro ou dados, enviar mensagens maliciosas ou prejudicar a reputação do proprietário da conta. A aquisição de contas tornou-se um grande problema, afetando consumidores e empresas.
Melhores práticas para prevenir roubo de credenciais
Para prevenir eficazmente o roubo de credenciais, as organizações devem implementar diversas práticas recomendadas.
PAM - Gestão de Acesso Privilegiado
Gerenciamento e monitoramento contas privilegiadas, especialmente aqueles com acesso administrativo, é crucial. Estas contas devem ser limitadas a utilizadores específicos e auditadas de perto. A autenticação multifator deve ser exigida para todas as contas privilegiadas verifique a identidade de qualquer pessoa que os acesse.
Lista de permissões de aplicativos
Limitar as credenciais corporativas apenas a aplicativos e serviços aprovados reduz o risco de roubo. A lista de permissões especifica quais programas estão autorizados a serem executados em uma rede, bloqueando todos os outros. Isso evita que software malicioso acesse credenciais.
Atualizações regulares e gerenciamento de patches
Manter todos os sistemas e software atualizados com os patches mais recentes garante que quaisquer vulnerabilidades que possam ser exploradas para roubar credenciais sejam resolvidas. As atualizações devem ser instaladas imediatamente em sistemas operacionais, aplicativos, dispositivos de rede e quaisquer outras tecnologias.
Avaliações de acesso do usuário
A realização de revisões frequentes dos direitos e privilégios de acesso dos usuários verifica se apenas indivíduos autorizados têm acesso aos sistemas e contas. Quaisquer contas que não sejam mais necessárias devem ser desativadas. Isto limita o potencial superfície de ataque por roubo de credenciais.
Treinamento de conscientização de segurança
Educar os usuários finais sobre os riscos de roubo de credenciais e as melhores práticas que eles podem seguir é uma das defesas mais eficazes. Simulações de phishing e treinamentos de atualização devem ser realizados regularmente. Os usuários devem ser ensinados a nunca compartilhar credenciais de contas ou clicar em links suspeitos.
Rotação de senha
A alteração rotineira de senhas, chaves e outras credenciais de contas minimiza a janela de oportunidade para roubo. Quanto mais frequentemente as credenciais são alternadas, menos úteis se tornam as credenciais roubadas. No entanto, as políticas de rotação devem equilibrar segurança e usabilidade.
Detectando roubo de credenciais
Para detectar roubo de credenciais, as organizações devem monitorar sinais de acesso não autorizado ou uso indevido da conta. Alguns indicadores de credenciais comprometidas incluem:
- Tentativas de login de dispositivos ou locais desconhecidos. Se um usuário fizer login repentinamente a partir de um endereço IP ou dispositivo desconhecido, sua conta pode ter sido comprometida.
- Várias tentativas de login malsucedidas. Tentativas repetidas de login malsucedidas podem indicar que um invasor está tentando adivinhar ou usar força bruta na senha de um usuário.
- Novas funções ou permissões de acesso não autorizado. Se uma conta de usuário receber direitos de acesso elevados que o proprietário legítimo não solicitou, isso poderá sinalizar uma tomada de controle da conta.
- Tempos estranhos de atividade da conta. O acesso à conta durante horários incomuns, especialmente tarde da noite ou de manhã cedo, pode indicar que um invasor está usando as credenciais roubadas.
- Atividade de viagem impossível. Se a conta de um usuário for acessada de vários locais distantes em um curto período, isso poderá indicar que as credenciais foram roubadas, pois a viagem física entre esses locais seria impossível.
- Exfiltração de dados. Downloads, uploads ou transferências de arquivos incomuns de uma conta podem indicar que um invasor está roubando dados usando informações de login roubadas.
- Alterações de senha por usuários desconhecidos. Se a senha de um usuário for alterada sem seu conhecimento ou solicitação, isso é um sinal de que a conta provavelmente foi invadida por um indivíduo não autorizado.
As organizações devem monitorar contas de usuário para essas atividades suspeitas e configure alertas automatizados para detectar possíveis eventos de roubo de credenciais o mais rápido possível. Notificar imediatamente os usuários sobre o comprometimento detectado e exigir redefinições de senha pode ajudar a minimizar os danos causados por informações de login roubadas. Campanhas frequentes de educação dos funcionários e simulação de phishing também ajudam a fortalecer a segurança das credenciais e a reduzir o risco de roubo.
Ficar atento a sinais de acesso não autorizado e tomar medidas rápidas em resposta aos eventos detectados é fundamental para se proteger contra os danos do roubo de credenciais. Com monitoramento constante e defesa proativa, as organizações podem proteger seus sistemas e dados confidenciais contra comprometimento por meio de detalhes de login roubados.
Respondendo a incidentes de roubo de credenciais
Responder a incidentes de roubo de credenciais requer ação imediata para limitar os danos. Depois que uma organização descobre credenciais comprometidas, as seguintes etapas devem ser executadas:
Identifique as contas comprometidas.
Determine quais contas de usuário tiveram suas credenciais de login comprometidas. Isso pode exigir a análise dos registros de atividades da conta para encontrar logins ou acessos não autorizados. Identifique contas internas de funcionários e também contas externas, como perfis de mídia social.
Bloqueie as contas afetadas.
Desative ou bloqueie imediatamente as contas comprometidas para evitar acesso não autorizado. Isso inclui a desativação de contas na rede e nos sistemas da organização, bem como quaisquer contas externas vinculadas, como perfis de mídia social.
Redefinir senhas de contas.
Exija que todos os usuários com credenciais roubadas redefinam suas senhas. Isso inclui contas usadas para acessar a rede e os sistemas da organização, bem como contas pessoais como e-mail, mídias sociais e contas bancárias. Redefina as senhas de todas as contas que usaram credenciais de login iguais ou semelhantes.
Habilite o MFA, se disponível.
Contas que suportam MFA, como e-mail, mídia social e acesso VPN, exigem que os usuários habilitem essa camada adicional de segurança. MFA adiciona uma camada extra de proteção para contas caso as credenciais sejam roubadas novamente no futuro.
Monitore contas em busca de atividades suspeitas.
Monitore de perto as contas comprometidas nas semanas e meses seguintes em busca de quaisquer sinais de acesso não autorizado ou logins suspeitos. Isso pode ajudar a detectar se as credenciais foram roubadas novamente ou se os cibercriminosos ainda têm acesso.
Fornecer treinamento adicional em segurança cibernética.
Reforçar as boas práticas de segurança cibernética com educação e formação adicionais para todo o pessoal. Isso inclui treinamento sobre como criar senhas fortes e exclusivas, identificar e-mails de phishing e outras práticas recomendadas para segurança de contas. A educação e o treinamento contínuos ajudam a fortalecer a postura de segurança de uma organização contra futuros ataques de roubo de credenciais.
Seguir essas etapas pode ajudar a limitar os danos causados por incidentes de roubo de credenciais e reduzir a probabilidade de ataques futuros. Com resposta e ação imediatas, as organizações podem conter incidentes de segurança, fortalecer suas defesas e conscientizar a equipe sobre os riscos de segurança das contas.
Conclusão
Ao compreender os métodos e motivações por trás do roubo de credenciais, os profissionais de segurança cibernética podem implementar controles e proteções para ajudar a detectar e mitigar esses tipos de ataques.
Embora nenhuma defesa seja infalível, manter a consciência das ameaças mais recentes e adotar uma abordagem multifacetada para controle de acesso e gerenciamento de identidade ajudará a reduzir o risco e a criar resiliência. Ao trabalharem juntos, as equipes de segurança e os indivíduos podem ficar à frente da curva e proteger os dados, contas e redes de suas organizações.