Invasões hackers na maioria das vezes não são sofisticadas como todos pensam. Segundo Frank Vieira, Head of Research and Development da Apura Cyber Intelligence, eles geralmente seguem o que a expressão famosa "Hackers Don't Break In, They Log In" diz, que em tradução livre é "Hackers não arrombam, eles logam". Isso acontece porque muitos ataques cibernéticos são feitos com acessos comuns, sem nenhuma dificuldade, até mesmo com dados coletados em fóruns da internet oriundos de outros ataques.
"Às vezes é literalmente entrar com credenciais vazadas em um app/plataforma. Muitas vezes o pessoal está muito preocupado com ataques avançados e assuntos bastante técnicos, quando na realidade a maioria dos ataques não é tão sofisticado", diz Vieira.
Ele se baseia nos números que vê diariamente no BTTng, plataforma de threat intel e antifraude da Apura, para validar essa afirmação. Milhões de senhas e chaves de API são coletadas diariamente pela plataforma e as credenciais roubadas acabam sendo um dos meios mais eficientes usados por atores de ameaça para acessar os sistemas das vítimas, normalmente performados de maneira simples com pouca dificuldade e sofisticação.
Segundo o relatório Data Breach Investigations Report (DBIR) da Verizon de 2022, cerca de 50% dos incidentes investigados tiveram relação com credenciais roubadas. Tanto que o BTTng tem um painel exclusivo para credenciais. Esta funcionalidade permite que os clientes consultem se credenciais pertencentes às suas organizações figuram entre os muitos vazamentos ocorridos no passado ou foram identificadas sendo vendidas em mercados ilegais. Embora o painel de credenciais não tenha nem um ano de existência, o número de credenciais recuperadas surpreende: 6 bilhões.
A plataforma usa milhares de robôs que coletam milhões de informações de forma constante em mais de 200 tipos de fontes primárias distintas, alimentando uma base de dados. E nessa base de dados não é incomum encontrar senhas e chaves de API que podem ser usadas para fomentar os ataques em aplicativos e plataformas que exijam login.
Um ataque cibernético que utiliza credenciais vazadas pode ocorrer de várias maneiras, mas geralmente envolve um invasor tentando acessar uma conta utilizando um nome de usuário e senha que foram previamente obtidos por meio de um vazamento de dados ou roubo de informações.
Outra forma de acesso às contas é o uso de "ataques de força bruta", em que o invasor tenta usar uma lista de nomes de usuário e senhas vazados em massa, ou gerados por meio de programas automatizados, para tentar obter o acesso a uma conta específica. Se as credenciais forem válidas, o invasor pode acessar a conta e realizar ações maliciosas, como roubar informações confidenciais, comprometer outros sistemas conectados à conta ou espalhar malwares.
Além destas, há ainda uma técnica bastante utilizada que é o "phishing", em que o invasor envia um e-mail ou mensagem de texto falsos que parecem vir de um serviço legítimo, solicitando que o destinatário clique em um link e insira suas credenciais de login. Se o usuário fornecer essas informações, o invasor poderá usá-las para acessar a conta do usuário e realizar ações maliciosas.
A dica é: habilitar o MFA!
Frank Vieira ressalta que existem alguns procedimentos que também são simples, mas que podem evitar ataques caso seus dados tenham sido vazados. Para evitar que suas credenciais sejam usadas em um ataque cibernético, é importante usar senhas fortes e exclusivas para cada conta, trocando-as com frequência e não usando datas ou qualquer outro tipo de informação que seja facilmente rastreável.
"O ideal é usar um gerenciador de senhas, ninguém consegue manter senhas fortes e exclusivas sem isso, e com ele as senhas já são completamente aleatórias sem nenhuma relação com qualquer dado", diz Vieira.
Além disso, sempre que possível, utilize a MFA (autenticação multifator), que adiciona uma validação adicional além da senha ao acessar o aplicativo ou conta, como leitura de impressão digital ou código recebido por telefone. Dessa maneira, caso sua senha tenha sido vazada, o hacker não terá o acesso, pois o segundo passo da verificação dependerá da sua autorização.
Fique atento a e-mails e mensagens suspeitas que possam solicitar informações pessoais ou de login. Além disso, é importante manter seu software e sistemas atualizados com as últimas correções de segurança para minimizar a probabilidade de ataques bem-sucedidos.
Na Apura, além da coleta e processamento de informação pelo BTTng, uma equipe de experts ajuda a avaliar as informações e construir alertas para os mais variados tipos de ataques. Esses relatórios e toda a atuação da equipe têm ajudado para que muitas empresas e até mesmo órgãos governamentais se municiem ainda mais na proteção à ação de criminosos cibernéticos.
