O que é coleta de credenciais?

Definição de coleta de credenciais

A coleta de credenciais é uma técnica de ciber ataque na qual ciber criminosos reúnem credenciais de usuários, como IDs de usuário, endereços de e-mail, senhas e outras informações de login em massa. De posse dessas credenciais, o hacker pode acessar sistemas e coletar dados ou outras informações sensíveis, vendê-las ou compartilhá-las na dark web, e/ou usá-las como ponto de partida para um ataque mais sofisticado.

Como funciona a coleta de credenciais?

A forma mais comum de coleta envolve a instalação de um coletor de credenciais – o mecanismo utilizado pelos hackers para obter informações de login – como uma extensão maliciosa em um website ou aplicação. Uma vez instalado, o coletor registra todas as informações que os usuários inserem durante o processo de login.

Como os coletores de credenciais registram indiscriminadamente todos os logins, os ciber criminosos conseguem acumular um vasto estoque de nomes de usuário e senhas. Essa prática representa uma ameaça considerável tanto para organizações quanto para as pessoas, uma vez que é comum que as pessoas usem as mesmas senhas em várias contas, muitas vezes durante anos.

Se um ciber criminoso conseguir acessar uma ou mais senhas antigas de um indivíduo, essas credenciais comprometidas se tornam um ponto de partida valioso para tentar adivinhar suas informações de login em outros websites ou sistemas. O objetivo final dos criminosos é acessar informações sensíveis, como dados bancários ou prontuários médicos, e/ou invadir redes corporativas, bancos de dados, sistemas ou programas utilizados pelas vítimas no trabalho.

Técnicas comuns empregadas em ataques de coleta de credenciais

A coleta de credenciais geralmente ocorre em conjunto com outras técnicas de ciber ataque. Alguns dos métodos de ataque mais frequentes incluem:

• Malware: Malware é uma das formas mais comuns de ataques de coleta de credenciais. Nesse tipo de ataque, um ciber criminoso envia e-mails em massa contendo anexos infectados. Depois de baixados, esses arquivos instalam malware nos computadores dos usuários desavisados, capturando e registrando automaticamente suas credenciais de login.
• Phishing: ataques de phishing frequentemente exploram a confiança depositada em marcas populares para induzir as vítimas a fornecer suas credenciais. Em ataques de coleta de credenciais em larga escala, o criminoso geralmente envia e-mails em massa que levam os destinatários para websites maliciosos, onde as credenciais deles são solicitadas. Assim como nos ataques de malware, o software de coleta de credenciais captura e armazena essas informações confidenciais.
• Spoofing de domínio: o spoofing de domínio é uma forma de phishing em que um invasor se passa por uma empresa ou pessoa conhecida usando um website ou domínio de e-mail falso para enganar as pessoas e ganhar a confiança delas. O domínio pode parecer legítimo à primeira vista, mas uma inspeção mais detalhada revela que um "W" é, na verdade, composto por dois "V"s, ou que um "l" minúsculo é, na realidade, um "I" maiúsculo. (A prática de registrar deliberadamente um website malicioso com grafia incorreta, se aproveitando dos erros de digitação dos usuários, é conhecida como typosquatting). O software de coleta de credenciais instalado no website com spoofing irá, então, armazenar as informações fornecidas pelos usuários que foram induzidos a interagir com o website ou aplicativo.
• Ataques man-in-the-middle (MitM): : os ataques man-in-the-middle (MitM): ocorrem quando um ator de ameaças consegue interceptar e retransmitir a comunicação entre duas partes que acreditam estar se comunicando diretamente. Com esses ataques, os invasores roubam credenciais e outras informações sensíveis transmitidas entre as duas partes, além de espionar a comunicação como um todo, possibilitando a coleta de informações adicionais.

O risco da coleta de credenciais

A posse das credenciais reais de um usuário representa um valor imenso para os hackers, pois permite que eles se passem pelo proprietário da conta, agindo como alguém com acesso legítimo, seja um funcionário, contratado, conta de serviço ou fornecedor externo. Como o invasor se apresenta como um usuário legítimo, esse tipo de ataque se torna um desafio para as defesas de segurança tradicionais.

Além disso, como é comum que as pessoas utilizem as mesmas credenciais em diversas contas, existe a possibilidade de que um hacker, de posse de um endereço de e-mail e senha roubados de uma aplicação ou conta menos segura, consiga acessar sistemas, bancos de dados ou programas mais confidenciais.

O acesso a credenciais de sistema reais permite que agentes maliciosos sofisticados estabeleçam uma base de apoio dentro da organização. Uma vez infiltrados, esses indivíduos podem tentar se movimentar lateralmente pela rede ou aumentar seus próprios privilégios. Além disso, eles podem baixar, criptografar ou alterar dados e outras informações confidenciais.

Finalmente, tendo as credenciais legítimas em mãos, os hackers podem preparar o terreno para ataques maiores e mais avançados, ou até mesmo criar backdoors garantir acesso contínuo, mesmo que o ponto de entrada inicial seja detectado ou se torne inválido.

Por que a coleta de credenciais está em ascensão?

No ambiente de trabalho conectado, os funcionários frequentemente usam dezenas de contas on-line. Manter o controle sobre as credenciais de login de várias contas é difícil para os usuários. Essa dificuldade aumenta a probabilidade de que os usuários negligenciem práticas básicas de cibersegurança, expondo a si mesmos e suas empresas a riscos de ataques cibernéticos.

Com a crescente adoção de tecnologias de Login Único (SSO) por parte das organizações para facilitar o trabalho remoto e melhorar a experiência da força de trabalho, os invasores passaram a identificar a vulnerabilidade inerente das senhas e credenciais de usuário armazenadas.

Ataques baseados em identidade, nos quais os adversários se fazem passar por usuários legítimos, são particularmente difíceis de detectar, porque as soluções de cibersegurança tradicionais, em sua maioria, não conseguem distinguir um usuário real de um invasor disfarçado.

A proteção contra ataques baseados em credenciais é de importância crítica, pois essa técnica serve, frequentemente, como porta de entrada para outros problemas de segurança mais graves, como comprometimento de dados, roubo de identidade e ataques de malware ou ransomware.

Como evitar ataques de coleta de credenciais

Considerando que os ataques baseados em credenciais visam diretamente os indivíduos, a defesa mais eficaz contra essas técnicas reside em uma força de trabalho informada e engajada. As organizações precisam investir na educação dos funcionários, ensinando sobre os sinais que podem revelar ataques de credenciais, as práticas recomendadas de proteção e os procedimentos a serem adotados em caso de suspeita de um ataque.

 Medidas que os indivíduos podem adotar para proteção contra ataques de credenciais

 1. Usar senhas fortes e exclusivas.

Os invasores têm mais dificuldade para decifrar senhas complexas. Senhas únicas, por sua vez, minimizam os danos caso uma delas seja comprometida. É fundamental que os funcionários troquem suas senhas regularmente e nunca reutilizem senhas antigas. Em vez de anotar senhas em papel ou salvá-las em arquivos de texto, considere utilizar um gerenciador de senhas de um provedor confiável. Essas ferramentas auxiliam na criação e no armazenamento seguro de senhas complexas, estabelecendo uma proteção contra possíveis comprometimentos.

 2. Nunca abrir anexos de e-mails de remetentes desconhecidos ou clicar em links de fontes suspeitas.

Ciber criminosos frequentemente se aproveitam dos sentimentos de urgência ou medo para induzir as pessoas a abrir anexos ou clicar em links maliciosos. Sempre que receber uma mensagem estranha ou suspeita, leia-a com atenção e calma antes de tomar qualquer atitude. Em vez de clicar nos links ou arquivos da mensagem, abra uma nova janela do navegador e acesse sua conta manualmente, digitando o endereço na barra de navegação. Veja se você recebeu a mesma mensagem por um canal oficial.

3. Manter seus softwares e navegadores atualizados.

Independentemente do sistema operacional ou navegador que você usar, certifique-se de que você está sempre usando a versão mais recente. Preste atenção às mensagens e alertas do sistema que solicitam a atualização, especialmente as que informam que a atualização faz a correção das vulnerabilidades de segurança conhecidas.

 4. Nunca responder spam.

Responder a e-mails de phishing confirma para os ciber criminosos que seu endereço de e-mail está ativo. Isso os incentiva a colocar seu endereço no topo das listas de alvos e a direcionar novos ataques imediatamente.

5. Evitar conexões Wi-Fi públicas ou redes sem proteção.

Redes Wi-Fi públicas são frequentemente usadas por ciber criminosos para realizar ciber ataques man-in-the-middle (MitM) e de outros tipos. Ao se conectar a redes públicas, você corre o risco de ter suas comunicações interceptadas por hackers, que podem roubar informações retransmitidas durante a sessão, como credenciais de login.

Medidas que organizações podem adotar para fortalecer suas defesas de segurança

Além das medidas individuais, as empresas devem implementar ações em nível corporativo para garantir a proteção dos negócios, clientes e ativos contra a coleta de credenciais e outros ciber ataques.

1. Promover treinamentos regulares de conscientização sobre segurança.

Conhecimento é poder. Ao capacitar os usuários a reconhecer ataques de credenciais e as técnicas associadas de engenharia social, phishing e malware, as organizações transformam seus funcionários em uma linha de defesa fundamental do ambiente de TI. Para ver informações detalhadas sobre como desenvolver e implementar um programa de treinamento em cibersegurança, leia nosso artigo relacionado aqui.

2. Habilitar e exigir autenticação multifatorial (MFA).

A MFA exige que os usuários apresentem duas ou mais formas de comprovação para verificar e autenticar sua identidade antes de receber o acesso solicitado. As técnicas de MFA elevam significativamente a barreira para invasores, impedindo que eles comprometam aplicações e sistemas com uma só senha.

3. Implementar uma solução de gerenciamento de direitos de infraestrutura em nuvem (CIEM).

Soluções CIEM ajudam as empresas na gestão de permissões e direitos nos recursos de infraestrutura em nuvem. O objetivo principal de ferramentas como o CrowdStrike Falcon^® Cloud Security, que oferece capacidades de CIEM, é mitigar os riscos decorrentes da concessão não intencional ou descontrolada de permissões excessivas a recursos na nuvem. Ao revogar privilégios desnecessários, as organizações conseguem reduzir consideravelmente as ameaças representadas por contas comprometidas.

4. Definir o escopo de permissões adequadamente para usuários e máquinas.

É de suma importância que as organizações entendam o nível de acesso privilegiado concedido a usuários e dispositivos. Contas que podem ser usadas para acessar sistemas, dados e aplicações confidenciais precisam ser gerenciadas com rigor, para atender os requisitos de segurança e conformidade das empresas modernas.

5. Implementar investigações de ameaças proativas.

Com essa forma de investigação de ameaças, é possível fazer buscas contínuas, 24 horas por dia, por ataques desconhecidos e sigilosos que se aproveitam de credenciais roubadas e são executados sob o disfarce de usuários legítimos. Esses são os tipos de ataques que as medidas de segurança padrão podem não detectar. Com base na experiência adquirida no "combate diário" contra atores de ameaças persistentes avançadas (APTs) sofisticados, a equipe Falcon Counter Adversary Operations identifica e rastreia milhões de pistas sutis todos os dias, validando a legitimidade delas e alertando os clientes quando necessário.