top of page
Buscar
Foto do escritorUnxpose
27 de fev.3 min para ler

Credenciais vazadas são vetores para diferentes tipos de ataques automatizados. Conheça alguns deles e como se proteger.

Atualizado: 28 de fev.

Em janeiro deste ano a Microsoft anunciou ter sofrido um ataque que resultou em acesso não autorizado a e-mails e documentos de executivos e funcionários dos times de segurança e jurídico. Neste episódio, o que surpreendeu, para além do ataque em si, foi como ele se deu: um dispositivo dentro da rede da Microsoft estava protegido por uma senha fraca, sem autenticação em duas etapas.

O grupo Midnight blizzard, a quem a Microsoft atribuiu a autoria do crime, testou várias combinações, incluindo senhas anteriormente comprometidas ou comumente usadas, até encontrar a correta - uma técnica simples e antiga conhecida como password spraying ou força bruta horizontal.

Credenciais vazadas podem ser vetor para uma enorme gama de ataques automatizados que utilizam técnicas diferentes, mas que podem confundir por terem similaridades na forma como são postos em prática.

Vamos passar por alguns dos ataques mais comuns:
Password Spraying O password spraying é um tipo de ataque onde criminosos tentam acessar várias contas usando as senhas mais comuns. Diferente de outros métodos que focam em uma conta por vez, o password spraying explora a tendência das pessoas usarem senhas simples e repetidas em múltiplas contas.

Essa técnica também é conhecida como Força Bruta Horizontal (vide abaixo).
Credential Stuffing Diferente do Password Spraying, em que os atacantes utilizam senhas comuns, no credential stuffing, os criminosos usam credenciais vazadas de um ataque anterior para tentar acessar contas em outros serviços. Este método se baseia na prática comum de reutilização de senhas em diferentes plataformas. 
Força Bruta Vertical e Força Bruta Horizontal
A força bruta vertical se concentra em uma única conta, tentando adivinhar sua senha através de múltiplas tentativas a partir de uma ampla gama de senhas.
E como falado anteriormente, a força bruta horizontal é outro nome para o password spraying, que foca várias contas usando uma única senha ou um pequeno conjunto delas. 
COMO SE PROTEGER?
Use Senhas Fortes e Únicas (e se possível, um gerenciado senhas)

Crie senhas fortes, preferencialmente geradas aleatoriamente e diferentes para cada conta. E lembre-se, não é a complexidade, mas sim o comprimento que realmente importa. Você pode pensar que uma senha complexa, cheia de símbolos, números e letras maiúsculas é o caminho a seguir, mas o comprimento é o que faz mais diferença.

Além disso, um gerenciador de senhas pode ser o seu melhor amigo, pois ele pode criar e armazenar senhas complexas para você, tornando mais fácil manter uma senha única para cada serviço sem a necessidade de memorizá-las.
Autenticação de Dois Fatores (2FA)
A autenticação de dois fatores adiciona uma camada extra de segurança, exigindo não apenas a senha, mas também um código gerado por um dispositivo que somente o usuário tem acesso.
Mantenha-se Atualizado
Fique atento a notícias sobre vazamentos de dados e altere suas senhas regularmente, especialmente se você souber que uma plataforma que você usa foi comprometida.
Educação e Conscientização
Estar ciente dos tipos de ataques e como eles são realizados pode ajudar a identificar tentativas de intrusão e evitar práticas inseguras, como a reutilização de senhas.
Mecanismos Anti-Automação
Implemente mecanismos anti-automação como CAPTCHA ou WAFs em suas aplicações para distinguir humanos de máquinas, dificultando a execução de ataques automatizados. Caso não seja possível, experimente a utilização de Rate Limiting para restringir o número de tentativas de autenticação, ou mesmo Proof of Work para tornar o processo mais custoso para o atacante.
 
A Unxpose está ao seu lado A Unxpose oferece uma solução abrangente para prevenir ataques cibernéticos, incluindo verificações para ajudar a sua empresa a evitar ataques desse tipo: - Monitoramento de credenciais vazadas, que são priorizadas de forma automatizada por nível de risco, a partir do tipo de informação encontradas no vazamento  - Monitoramento do provedores de cloud (AWS, Microsoft Azure e Google Cloud) e provedores de identidade, como Google Workspace e do Microsoft 365 para garantir que políticas de senha fortes estão implantadas e um segundo fator de autenticação está sendo exigido. - Monitoramento do ativos de sua empresa em busca de formulários de autenticação que não possuem CAPTCHA.

E a melhor parte, você consegue testar tudo isso gratuitamente!
47 visualizações0 comentário

Comments

bottom of page