O efeito cascata de credenciais comprometidas
Quando os usuários aumentam o risco para a organização
O risco de credenciais expostas
De acordo com um estudo, 44% dos funcionários pesquisados usam as mesmas credenciais de login em contas pessoais e de trabalho
As organizações que protegem seus sistemas e dados com combinações simples de nome de usuário e senha tornam mais fácil (e rápido) para os invasores violá-los. Da mesma forma, os usuários que não praticam a higiene adequada, usando palavras do dicionário como senhas, não alterando senhas comprometidas e assim por diante, podem se colocar em maior risco de ataque.
Um dos métodos mais comuns usados para se infiltrar em contas e sistemas protegidos é por meio de ataques de preenchimento de credenciais. Esses ataques enviam spam aos endpoints de login das organizações com credenciais comprometidas (nomes de usuário e senhas que foram expostos em violações de dados que ocorreram em outras organizações) e, em seguida, realizam outras atividades maliciosas assim que o acesso é obtido.
Frequentemente, listas de credenciais roubadas são compradas e vendidas na dark web e podem ser usadas para tentar entrar em qualquer número de organizações. Embora a taxa de violações bem-sucedidas usando esses dados roubados seja baixa, ela é mais bem-sucedida pelo alto volume de credenciais às quais os invasores têm acesso, bem como pelo fato de que os usuários tendem a reutilizar as credenciais em várias contas ou podem não alterá-las imediatamente após uma violação conhecida.
Para colocar isso em perspectiva: durante grandes ataques de força bruta, a Cloudflare observou solicitações HTTP usando credenciais expostas a uma taxa de mais de 12 mil por minuto. Mesmo que apenas uma fração dessas tentativas fosse bem-sucedida, elas poderiam causar sérios danos a uma organização assim que um invasor conseguisse penetrar.
Por causa do volume e da frequência das tentativas de ataques de preenchimento de credenciais, a defesa contra elas requer uma estratégia de segurança proativa e multicamadas, que pode bloquear solicitações de login fraudulentas, impor requisitos de autenticação robustos e minimizar o movimento lateral em caso de violação.
Por que o preenchimento de credenciais ainda funciona
O preenchimento de credenciais bem-sucedido resulta no controle de conta, permitindo que invasores obtenham controle total da conta de um usuário e roubem dados confidenciais, comprometam sistemas internos ou realizem ataques maiores.
Considere a DraftKings, uma empresa de apostas esportivas que sofreu um ataque significativo de preenchimento de credenciais no qual as credenciais roubadas foram usadas para acessar seus sistemas, comprometendo os dados pessoais de mais de 67 mil usuários.
Esses dados incluíam endereços físicos e de e-mail, números de telefone, informações de saldo da conta, detalhes parciais do cartão de pagamento e outras informações confidenciais, porém a extensão total da violação permaneceu desconhecida. Como resultado, os invasores conseguiram retirar aproximadamente US$ 300 mil de várias contas de usuários.
Após ataques como esses, alguns usuários podem alterar rapidamente suas senhas em contas comprometidas. No entanto, muitos outros continuam a reutilizar senhas em vários sistemas, optam por manter a mesma senha após uma violação ou alterá-la para algo menos seguro. Em um estudo da Carnegie Mellon University, apenas uma em cada três pessoas com contas em um domínio violado conhecido mudou suas senhas depois.
E, devido ao grande número de incidentes de comprometimento de dados conhecidos, que geraram mais de 700 milhões de credenciais roubadas somente em 2022, obter credenciais de usuários roubadas geralmente é bastante fácil para os invasores que têm recursos para comprá-las.
Depois que os invasores quebram as credenciais de uma conta de usuário legítima, eles podem usar essas combinações para atingir várias organizações. Por exemplo, se as credenciais de trabalho de um funcionário forem expostas em uma violação e vendidas na dark web, os invasores podem usar essas credenciais para atingir aplicativos bancários populares ou outros alvos de alto valor, o que pode resultar em perdas adicionais se a vítima usar a mesma senha para acessar várias plataformas.
O ônus do acesso seguro
Quando se trata de proteção contra preenchimento de credenciais e controle de conta, o ônus do acesso seguro recai sobre usuários individuais e organizações. Praticar uma boa higiene de senha é importante, mas não é suficiente para se defender contra ataques se outras medidas de segurança não estiverem em vigor.
Por exemplo, as organizações que confiam em autenticação de fator único (por exemplo, exigindo apenas um nome de usuário/senha) podem inadvertidamente colocar seus usuários em maior risco de controle de conta, uma vez que os invasores precisam realizar apenas uma forma de ataque para violar contas protegidas e sistemas.
Por outro lado, as organizações que impõem a autenticação multifator, por exemplo, exigir uma combinação de nome de usuário/senha, e um token físico exclusivo, que exigem que os usuários atualizem regularmente suas senhas e implementam medidas de segurança Zero Trust têm muito mais probabilidade de resistir a tentativas de preenchimento de credenciais.
Implementar medidas de defesa
Vários fatores podem complicar as tentativas de uma organização de evitar o preenchimento de credenciais. Como esses ataques dependem de dados que foram roubados de outras empresas ou adquiridos na dark web, as organizações podem não estar cientes de que seus usuários estão reutilizando credenciais comprometidas. Além disso, os invasores geralmente automatizam suas tentativas por meio de um software de preenchimento de credenciais, que usa bots maliciosos para enviar spam aos endpoints de login com solicitações.
Apesar disso, ainda existem várias estratégias que as organizações podem adotar para proteger seus usuários e dados, incluindo:
Exigir MFA
A melhor defesa contra o preenchimento de credenciais é a proativa. Ao exigir que os usuários forneçam várias formas de identificação para acessar sistemas e dados protegidos, as organizações podem minimizar a probabilidade de uma violação bem-sucedida, mesmo para usuários que podem estar redirecionando credenciais expostas. Para fortalecer ainda mais sua postura de segurança, elas também podem exigir redefinições de senha em intervalos regulares e especificar o comprimento e os caracteres que as senhas de usuário devem conter.
Bloquear solicitações que usam credenciais expostas
Embora as ferramentas de preenchimento de credenciais possam disfarçar as tentativas de login como legítimas, as organizações podem configurar conjuntos de regras de WAF (firewall de aplicativos web) para verificar essas solicitações em bancos de dados de credenciais roubadas disponíveis publicamente. Quando há uma correspondência, o usuário pode receber um desafio interativo ou a solicitação pode ser negada automaticamente.
Adotar segurança Zero Trust
O Zero Trust é um modelo de segurança moderno que assume que as ameaças estão presentes dentro e fora da rede de uma organização e valida continuamente cada usuário, dispositivo e solicitação. O Zero Trust vai além do MFA, aplicando o acesso com menor privilégio (ou seja, minimizando a exposição dos usuários a dados confidenciais), validando a identidade e as permissões do dispositivo e verificando repetidamente a identidade do usuário. Juntas, essas práticas ajudam a evitar invasões, reduzem a oportunidade de movimento lateral e diminuem o impacto de uma violação bem-sucedida.
Evitar o preenchimento de credenciais
Construída em uma poderosa rede global, abrangendo 320 cidades em mais de 120 países, a Cloudflare tem insights sem precedentes dos padrões de ataque atuais e emergentes. Isso ajuda a proteger melhor os clientes de uma ampla gama de ataques automatizados e direcionados.
O Cloudflare Zero Trust ajuda as organizações a implementar requisitos de acesso rigorosos para defender seus endpoints de login contra solicitações não autorizadas. Além disso, as organizações podem reduzir sua vulnerabilidade ao preenchimento de credenciais usando a Cloudflare para limitar as tentativas de login com falha, identificar e bloquear o mau comportamento de bots e filtrar as tentativas de acesso de fontes potencialmente maliciosas por meio de regras de firewall personalizadas.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Baixe o artigo técnico A situação da segurança de aplicativos para saber como a Cloudflare ajuda a defender as organizações contra o preenchimento de credenciais e outras ameaças emergentes.
Principais conclusões
Após ler este artigo, você entenderá:
Como os ataques de preenchimento de credenciais podem levar ao controle de conta
Por que a MFA não é suficiente para impedir o preenchimento de credenciais
Estratégias para proteger sua organização contra ataques volumétricos