Credential stuffing: veja como se proteger desse ataque cibernético

A reutilização de senhas em várias plataformas, um costume muito mais comum entre usuários de serviços digitais do que o recomendado, pode se transformar em um grande problema por facilitar ataques como o credential stuffing, um modo de violação de dados onde hackers testam combinações de nomes de usuário e senhas vazadas de um serviço para tentar acessar outras contas do usuário em diferentes sites.

Apesar do alerta de especialistas, o reuso de senhas que muitas vezes pecam por combinações frágeis é um hábito frequente, como aponta o relatório “Annual Credential Exposure Report”, da SpyCloud, que analisou cerca de 1,5 bilhão de credenciais e bilhões de informações pessoais.

Entre os usuários que tiveram mais de uma senha exposta, mais de 60% deles as reutilizaram em múltiplas contas.

Até mesmo o governo dos Estados Unidos da América demonstrou fragilidade no momento de proteger seus dados de ataques cibernéticos. Entre os 270 mil endereços de domínios associados ao governo dos EUA (.gov) o reuso de senhas foi de 87%.

Para não cair nas garras de indivíduos mal-intencionados e ter as suas contas invadidas, veja a seguir quais medidas de cibersegurança a sua empresa precisa tomar imediatamente para a proteção de dados e informações.  

O que é credential stuffing?

O credential stuffing (ataque por preenchimento de credenciais) é um método de ataque a contas de usuários que se vale do fato de muitas pessoas reutilizarem as mesmas credenciais em vários sites, com senhas fracas, geralmente com poucos caracteres.

Esse ataque é feito por meio de bots, que aproveitam o fato de ter à disposição nomes de usuário e/ou endereços de e-mail e as senhas correspondentes. Desse modo, busca-se obter acesso não autorizado a contas de usuários por meio de requisições de login automatizadas em larga escala.

Os ataques de credential stuffing não tentam forçar ou adivinhar senhas, mas utilizam logins automatizados para um grande número de pares de credenciais previamente descobertos.

Além de serem possibilitados pela reutilização da mesma combinação de nome de usuário/senha, muitos sites tornam esses logins vulneráveis a tais ataques por não possuírem defesas adequadas, como bot management. 

Como funciona o passo a passo do credential stuffing?

Aproveitando vazamentos de credenciais (usuário e senha) para tentar acessar contas em diferentes serviços, o credential stuffing tem o seguinte caminho:

• Hackers obtêm listas com milhões de logins e senhas vazadas de bancos de dados expostos em fóruns pela internet;
• Os cibercriminosos usam bots e ferramentas automatizadas para testar essas credenciais em várias plataformas (e-mails, redes sociais, bancos, e-commerces etc.), com o objetivo de encontrar contas em que o usuário tenha reutilizado a mesma senha;
• Quando o acesso a uma conta é bem-sucedido, os invasores conseguem explorar isso de várias maneiras, por meio do roubo de dados pessoais e financeiros, a efetuação de compras fraudulentas, controle contas para ataques futuros e venda de acessos de maneira ilegal, especialmente na dark web.

O impacto do credential stuffing

O credential stuffing pode ter sérios impactos para empresas e usuários, uma vez que invade e rouba informações que estão em plataformas acessíveis somente a quem tem determinada senha para a realização do login. 

Um dos maiores problemas é o acesso a informações financeiras sigilosas, incluindo números de cartões de crédito, documentos confidenciais e dados de clientes.

A realização de transações fraudulentas por meio de contas bancárias, carteiras digitais e serviços de e-commerce é outra questão ligada ao ataque de credential stuffing, o que resulta em prejuízos financeiros que são, muitas vezes, de difícil recuperação.

Esses vazamentos de dados e invasões, a depender do tamanho do rombo e se não forem logo detectados, conseguem manchar a imagem da empresa, afastando clientes e parceiros, e impactando o valor da marca.

Por fim, isso pode resultar em penalidades legais. Empresas que não protegem adequadamente os dados dos usuários podem ser multadas por meio da Lei Geral de Proteção de Dados (LGPD), gerando altos custos aos cofres. 

Como sua empresa deve se proteger?

Para se proteger de credential stuffing e dificultar o uso de credenciais vazadas, uma empresa deve adotar várias camadas de segurança.

Aqui estão as principais medidas para adicionar uma camada extra de proteção:

• Implementar a autenticação em dois fatores (2FA) ou múltiplos fatores (MFA), exigindo um código de verificação (SMS, e-mail, app autenticador) além da senha. Isso impede que o criminoso acesse a conta sem o segundo fator;
• Identificar acessos suspeitos, como múltiplas tentativas em curto tempo, logins a partir de locais ou dispositivos incomuns, e padrões de login automatizados;
• Aplicar rate limiting (imitação de tentativas de login), buscando restringir o número de tentativas de login por IP ou dispositivo em um período de tempo;
• Bloquear temporariamente ou exigir um CAPTCHA (teste automatizado para diferenciar humanos de bots) após várias tentativas falhas;
• Usar firewalls de aplicações web e ferramentas de bot detection para bloquear ataques automatizados;
• Alertar clientes e funcionários se suas credenciais aparecerem em vazamentos conhecidos;
• Implementar regras de criação de senhas fortes, com mínimo de 12 caracteres, e o uso de letras maiúsculas, minúsculas, números e símbolos. Também é válido o incentivo ao uso de gerenciadores de senhas.
• Nunca armazenar e nem transmitir senhas em texto puro, sem qualquer tipo de criptografia ou proteção. Desse modo, utilizar algoritmos robustos de hashing com salting para aumentar a segurança.
• Adotar a inteligência de ameaças cibernéticas (threat intelligence), monitorando bases de dados de credenciais vazadas e comparando-as com as informações de login dos usuários.

Proteja a sua empresa com a Symbioti

É certo que tais medidas ajudam a minimizar os riscos e proteger a sua empresa contra ataques de credential stuffing.

Mas e que tal investir em segurança, tendo ao lado um time que se dedica a compreender perfeitamente quais são as necessidades da sua empresa em segurança e gestão da informação?

A Symbioti identifica vulnerabilidades e entrega ferramentas de proteção sob medidas. Entre em contato com a gente e saiba mais sobre as nossas soluções.