Os ataques baseados em identidade utilizam credenciais comprometidas do usuário para acesso malicioso. Eles diferem dos ataques baseados em malware porque empregam o processo de autenticação legítimo para acessar recursos, sem a necessidade de código malicioso.
Alguns ampliam a definição e incluem nela também estágios de ataque que facilitam esse acesso não autorizado, como comprometimento de credenciais e escalação de privilégios.
O objetivo dos ataques baseados em identidade é acessar recursos locais e na nuvem, fazendo-se passar por usuários legítimos. Depois que os agentes da ameaça roubarem as informações de login, eles poderão se passar por usuários autorizados e obter acesso aos recursos. Esses ataques são difíceis de detectar porque as contas comprometidas já possuem permissão para acessar sistemas e dados.
Os ataques baseados em identidade continuam a crescer em sofisticação e escala. As organizações devem implementar fortes controles de segurança, como autenticação multifatorial, educação de funcionários e monitoramento de contas, para ajudar a reduzir os riscos dessas ameaças. Com vigilância e defesa proativa, o impacto dos ataques baseados em identidade pode ser minimizado.
Os ataques baseados em identidade têm como alvo indivíduos, comprometendo os seus dados pessoais e identidades digitais. Os hackers empregam várias técnicas/vetores para roubar nomes de usuário, senhas, números de segurança social e outras informações confidenciais que podem ser usadas para se passar por vítimas para ganho financeiro ou outros fins maliciosos.
Phishing é uma tática comum em que invasores enviam e-mails ou mensagens de texto fraudulentos se passando por uma empresa ou serviço legítimo para induzir os destinatários a fornecer credenciais de login, números de conta ou instalar malware. O spearphishing tem como alvo indivíduos específicos, parecendo vir de alguém que eles conhecem. A caça às baleias tem como alvo executivos de alto nível.
O software de keylogging rastreia secretamente as teclas pressionadas em um teclado, registrando nomes de usuário, senhas, números de cartão de crédito e outros dados confidenciais. Keyloggers podem ser instalados por e-mails de phishing, dispositivos de armazenamento externos infectados ou exploração de vulnerabilidades de software.
A engenharia social visa manipular as pessoas para que divulguem informações confidenciais ou executem ações que permitam o acesso ao sistema. Os invasores podem se passar pela equipe de suporte de TI, alegar que há um problema técnico que exige acesso à conta ou enganar as vítimas para que cliquem em links maliciosos, parecendo vir de um amigo ou colega.
Recheio de credenciais usa ferramentas automatizadas para testar combinações de nome de usuário e senha roubadas em diferentes sites e serviços. Bilhões de credenciais comprometidas por grandes violações de dados estão disponíveis na dark web. Os hackers empregam preenchimento de credenciais para encontrar contas onde as pessoas reutilizam as mesmas informações de login.
À medida que a autenticação multifator se torna normalizada, a falsificação biométrica, em que os invasores falsificam dados biométricos para acessar contas privilegiadas, também surgiu como um vetor de ataque.
Os ataques baseados em identidade têm como alvo as informações de identificação pessoal (PII) e as credenciais de login de um indivíduo. Esses ataques são significativos porque podem ter grandes impactos tanto sobre indivíduos quanto sobre organizações.
Para indivíduos, o roubo de identidade e o controle de contas podem levar a perdas financeiras, danos ao crédito e comprometimento de informações pessoais. Os criminosos usam identidades e contas roubadas para fazer compras não autorizadas, solicitar empréstimos, apresentar declarações fiscais fraudulentas e muito mais.
Para as organizações, os ataques baseados em identidade representam riscos para os dados dos clientes, a propriedade intelectual e os ativos financeiros. Os hackers frequentemente visam contas e redes corporativas para obter acesso a dados e fundos confidenciais. Ataques bem-sucedidos podem minar a confiança do consumidor e impactar negativamente a reputação e a marca de uma empresa.
Assim que os invasores obtiverem acesso inicial, eles tentarão mover-se lateralmente pelas redes para acessar sistemas e contas adicionais. Eles aproveitam as permissões e a confiança da conta originalmente comprometida para acessar dados mais confidenciais e obter maior controle. Movimento lateral é uma técnica avançada que muitas vezes requer discrição para evitar a detecção.
Regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) responsabilizam as organizações pela proteção de dados pessoais e pela resposta a ataques baseados em identidade. O não cumprimento desses regulamentos pode resultar em penalidades financeiras significativas.
A proteção contra ataques baseados em identidade requer uma abordagem multifacetada. As organizações devem implementar um treinamento abrangente de conscientização sobre segurança para educar os funcionários sobre e-mails de phishing, táticas de engenharia social e práticas de senhas fortes.
Autenticação multifator (MFA) adiciona uma camada extra de proteção para contas de usuários e sistemas. Quando a MFA está habilitada, os usuários devem fornecer dois ou mais métodos de verificação para fazer login, como uma senha e um código de segurança enviado ao seu dispositivo móvel.
A MFA adiciona uma camada extra de segurança, dificultando o acesso dos invasores, mesmo que tenham a senha. Também pode mitigar os danos dos ataques de phishing, exigindo uma segunda forma de identificação que é menos provável que o invasor tenha.
Tentativas repetidas de login (em ataques de força bruta) também são frequentemente frustradas pela MFA, pois o invasor precisaria de mais do que apenas uma senha para obter acesso.
A inteligência artificial e o aprendizado de máquina podem ajudar a detectar tentativas de login anômalas e detectar contas comprometidas. Os sistemas de IA analisam grandes volumes de dados para estabelecer padrões normais de comportamento para usuários e sistemas. Eles podem então sinalizar atividades incomuns, como logins de dispositivos ou locais desconhecidos, tentativas excessivas de login malsucedidas ou alterações nas informações da conta. IA e ML ficam “mais inteligentes” com o tempo, incorporando novos dados em seus modelos.
No caso de um ataque baseado em identidade, um plano eficaz de resposta a incidentes é fundamental. O plano deve delinear etapas para proteger contas e sistemas, investigar a origem e o escopo do ataque e remediar quaisquer danos. Deve também incluir procedimentos para notificar os clientes ou parceiros de negócios afetados caso os seus dados tenham sido comprometidos. As revisões pós-incidentes ajudam a identificar áreas de melhoria nos controles de segurança e estratégias de resposta.
Monitoramento contínuo de redes, sistemas e contas de usuário é fundamental para a defesa contra roubo de identidade e controle de contas. As soluções de monitoramento usam uma combinação de análise de log, inspeção de tráfego de rede e análise de comportamento do usuário para detectar ameaças em tempo real. Quando atividades maliciosas são descobertas, as equipes de segurança recebem alertas para que possam conter rapidamente o ataque e evitar perda de dados ou interrupção do sistema. Revisões regulares de logs de acesso, permissões e perfis de usuário também ajudam a garantir que as contas e os dados estejam devidamente protegidos.
Com um conjunto robusto de controlos de segurança, monitorização vigilante e tecnologias adaptativas como a IA, as organizações podem reforçar as suas defesas contra as técnicas em evolução utilizadas em ataques cibernéticos baseados em identidade. Mas a consciencialização e a educação constantes de toda a força de trabalho são igualmente importantes para impedir tentativas de engenharia social e outras fraudes destinadas a roubar credenciais de login ou dados sensíveis.
Como este artigo demonstrou, os ataques baseados em identidade são uma séria ameaça no cenário digital atual. Ao comprometer credenciais de login ou falsificar identidades confiáveis, os cibercriminosos podem obter acesso a dados e sistemas confidenciais para lançar novos ataques.
Os ataques baseados em identidade estão em constante evolução, mas com vigilância, educação e estratégias defensivas adaptativas, o seu impacto pode ser minimizado. O progresso contínuo em biometria, análise comportamental e outros métodos de autenticação também poderá ajudar a conter essas ameaças nos próximos anos.