Geral 2min de Leitura - 10 de junho de 2021

Crackers testam manualmente senhas roubadas poucas horas após seu vazamento

dedos tocando tela com códigos binários

This post is also available in: Português

Logins falsos foram criados por pesquisadores para descobrir quanto tempo os cibercriminosos levam para utilizá-los – algo que aconteceu em no máximo 12 horas.

Quem for alvo de um golpe virtual que descobriu sua senha pode esperar bastante agilidade dos crackers envolvidos no processo. Sabendo ou não da invasão, as credenciais da vítima serão testadas manualmente pelos golpistas em no máximo 12 horas. É o que acontece com 40% dos vazamentos de logins – porém, tal prazo pode ser ainda menor.

Em testes realizados por especialistas de segurança digital, o tempo de 12 horas foi a “melhor” das descobertas. Isso porque em 20% dos casos o acesso ilegal aconteceu em até 60 minutos, e em 40% em até seis horas. Os números mostram que os invasores são extremamente rápidos para testar se os nomes de usuário e as senhas funcionavam mesmo, já que os cibercriminosos procuram explorar credenciais roubadas o mais rápido possível.

Os responsáveis pelo estudo foram os pesquisadores de segurança cibernética da multinacional Agari. Durante seis meses, eles plantaram milhares de credenciais em sites e fóruns clandestinos conhecidos por divulgar nomes de usuário e senhas roubados. Todos os logins e senhas foram criados para parecer que pertenciam a usuários reais, mas na verdade estavam sob o controle dos pesquisadores.

“Cerca de 40% das contas foram acessadas em 12 horas após a propagação dos sites. Aproximadamente 20% são acessados em uma hora e 40% em seis horas. Isso realmente mostra a rapidez com que uma conta comprometida é explorada”, disse Crane Hassold, diretor sênior de pesquisa de ameaças da Agari.

Trabalho braçal e eficaz

Quase todas as contas foram acessadas manualmente. Mesmo sendo uma tarefa cansativa, acaba se mostrando útil para os cibercriminosos cibernéticos, pois podem testar com precisão se as credenciais realmente funcionam.

Ao acessar uma conta dessa maneira, um invasor pode encontrar informações confidenciais nas caixas de entrada de e-mail dos usuários, ou até mesmo em seu software de armazenamento em nuvem. São dados que podem ser roubados e usados para ajudar em novos ataques – ou mesmo vendidos no submundo do crime virtual.

Também existe a possibilidade de que os invasores possam usar as contas comprometidas para cometer outros crimes, como ataques de phishing ou comprometimento de e-mail comercial (BEC, na sigla em inglês), usando a conta invadida para lançar campanhas adicionais.

Exemplo disso é que, durante os testes, um invasor tentou usar uma conta roubada para conduzir ataques de BEC contra o setor imobiliário, disparando e-mails que tentariam redirecionar as vítimas a um site que rouba logins de empresas imobiliárias. Mas como as credenciais falsas eram controladas por pesquisadores, nenhum dos e-mails realmente chegou aos destinos pretendidos.

No entanto, o processo demonstra como os cibercriminosos obtêm credenciais comprometidas e tentam explorá-las para obter acesso a mais contas. É como um efeito dominó; o phishing de credencial leva a uma conta comprometida, que leva a mais campanhas de phishing de credencial, que levam a mais contas comprometidas – e assim por diante.

Vida curta

Ainda que as contas furtadas sejam acessadas rapidamente, a pesquisa descobriu que elas costumam ser abandonadas depois de uma semana. Afinal, após sete dias, provavelmente os invasores mudaram o foco para outros logins, talvez depois de usar a conta inicial como um trampolim para chegar em outros alvos.

Nesse contexto, as empresas devem tomar precauções no intuito de proteger seus aplicativos em nuvem, e a rede mais ampla, de phishing e de outros ataques. O mínimo é ter defesas adequadas instaladas e ativas constantemente, como softwares antivírus e filtros eficientes de spam.

O uso da autenticação multifator também pode ajudar a evitar que contas comprometidas sejam exploradas, pois torna a vida do cracker muito mais difícil – e ao mesmo tempo alerta a vítima de que algo está errado. Seja qual for o sistema de proteção, deve ser totalmente eficaz, pois – se falhar – em poucas horas os emails de uma empresa toda podem estar sob o domínio de cibercriminosos.

This post is also available in: Português