Stuffing de credenciais

O que é o stuffing de credenciais?

Stuffing de credenciais é um ciber ataque no qual ciber criminosos usam credenciais de login roubadas de um sistema para tentar acessar um outro sistema não relacionado.

Ataques de stuffing de credenciais funcionam com base na premissa de que as pessoas costumam usar o mesmo ID e senha para várias contas diferentes. Dessa forma, ao conseguir as credenciais de uma conta, um invasor pode ter acesso a outra conta não relacionada.

Por que os ataques de stuffing de credenciais estão em alta?

O stuffing de credenciais é um problema crescente por vários motivos:

• Disponibilidade de credenciais: nos últimos anos, dezenas de bilhões de nomes de usuário e senhas foram roubados ou vazados. Essas credenciais geralmente estão disponíveis para compra em mercados digitais na dark web. Elas servem como ponto de partida para ataques de stuffing de credenciais e diversas outras formas de ciber ataques.
• Avanços tecnológicos: os ataques de stuffing de credenciais usam bots e outras ferramentas de automação inteligente para tentar fazer login em várias contas em questão de segundos. Como esses bots são programados para testar uma combinação específica de nome de usuário e senha, cada tentativa de login em um sistema é realizada só uma vez. Dessa forma, é possível evitar a detecção por medidas de segurança tradicionais, como o bloqueio de endereços IP após múltiplas tentativas de login sem sucesso.
• Baixa barreira de entrada: o nível de conhecimento técnico e o custo exigidos para realizar ataques de stuffing de credenciais é muito baixo. Por valores a partir de US$ 50, qualquer pessoa com um computador pode comprar contas comprometidas na dark web e iniciar um ataque de stuffing de credenciais.
• Mudança para o trabalho remoto: a pandemia da COVID-19 acelerou a tendência da força de trabalho remota, e muitas empresas não estavam preparadas para proteger suas redes distribuídas. Os invasores se aproveitaram dessa vulnerabilidade, usando credenciais de contas pessoais para tentar acessar dispositivos e serviços corporativos.
• Dificuldade de detecção: em ataques de stuffing de credenciais com sucesso, adversários se passam por usuários legítimos, como funcionários, contratados ou fornecedores terceirizados. Esse fato, somado à ausência de malware ou outros vetores de ataque, torna a detecção de ataques de stuffing de credenciais extremamente difícil por defesas de cibersegurança tradicionais.

Como um ataque de stuffing de credenciais funciona?

Os ataques de stuffing de credenciais seguem um caminho de ataque relativamente simples:

1. Os invasores usam credenciais de contas roubadas ou adquiridas na dark web. Elas são, geralmente, o resultado de comprometimentos de dados enormes ou de outras formas de ciber ataque. Na maioria dos casos, essas informações podem ser compradas por valores muito baixos.

2. Com as credenciais de pelo menos uma conta on-line, o invasor configura uma botnet ou outra ferramenta de automação para realizar tentativas de login simultâneas em várias contas não relacionadas. Geralmente, o bot tem uma funcionalidade que oculta ou falsifica endereços IP, evitando a detecção por ferramentas de segurança que bloqueiam endereços estrangeiros ou incomuns.

3. O bot verifica se o acesso foi concedido a serviços ou contas secundárias. Caso a tentativa de login tenha sucesso, o ator coleta mais informações, tais como dados pessoais, informações de cartão de crédito armazenadas ou dados bancários. Os fraudadores também podem realizar outros golpes ou crimes, tais como:

• Venda on-line de acesso a contas de assinatura comprometidas na dark web, como serviços de streaming, plataformas de mídia, jogos on-line e outros
• Compra de produtos ou serviços usando métodos de pagamento armazenados
• Tomada de controle da conta, na qual o adversário assume o controle total da conta e altera configurações de segurança, informações de contato e outros detalhes, facilitando atividades maliciosas no futuro
• Venda de informações pessoais obtidos das contas comprometidas para alimentar campanhas de phishing e outros métodos de ataque avançados

Se invasores acessam uma rede corporativa por meio de uma conta comprometida, tal como a de um funcionário, contratado ou fornecedor, eles podem aproveitar para se mover lateralmente, instalar backdoors, coletar informações sobre o sistema para futuros ataques e, naturalmente, roubar dados. Como o ator usa credenciais de conta legítimas, ele é identificado como um usuário autorizado, o que torna extremamente difícil detectar essa atividade através de medidas de segurança tradicionais.

Ataques de stuffing de credenciais x Ataques de força bruta

Embora sejam parecidos, os ataques de stuffing de credenciais e de força bruta não são idênticos.

Um ataque de força bruta ocorre quando um ator de ameaças tenta ganhar acesso a dados confidenciais e sistemas tentando sistematicamente encontrar o maior número possível de combinações de nomes de usuários e senhas.

O stuffing de credenciais é parecido com o ataque de força bruta, porque o adversário tenta acessar o sistema sem ter autorização. No entanto, essas duas formas de ataque têm várias diferenças principais:

Especificidade do ataque

Em um ataque de força bruta, o ator de ameaças tenta ganhar acesso decifrando a senha, o ID de usuário ou ambos. Frequentemente, os invasores usam senhas comuns ou frases populares nas tentativas. De modo geral, esses ataques só têm sucesso se o usuário tiver escolhido uma senha simples e comum, por exemplo, Qwerty, Senha ou 123456.

Em um ataque de stuffing de credenciais, o adversário já tem as credenciais de um usuário para um certo serviço e tenta usá-las para acessar uma rede não relacionada. Por exemplo, se as credenciais do serviço de telefonia celular de um usuário forem vazadas em um comprometimento de dados, o ciber atacante vai usar as informações para acessar outros serviços, como websites de bancos, lojas ou outras contas digitais.

Tentativas de acesso

Em um ataque de força bruta, o bot geralmente é programado para testar várias combinações de IDs de usuário e senhas. Embora esses ataques tenham se tornado mais sofisticados e possam ser capazes de contornar medidas de segurança com sucesso, eles geralmente fazem com que o endereço IP seja bloqueado devido ao excesso de tentativas de login. Esse fato, somado à falta de contexto na hora de decifrar as credenciais, faz com que os ataques de força bruta tenham bem menos chances de sucesso do que o stuffing de credenciais.

Os ataques de stuffing de credenciais são bem mais específicos. Neles, o bot testa um ID de usuário e senha únicos em diversos websites. Como a ferramenta não faz várias tentativas de acesso, essa atividade geralmente não é sequer detectada pelos programas de segurança mais tradicionais.

Força da senha

Como os ataques de força bruta tentam ganhar acesso usando uma senha comum e simples, a maioria dos ataques pode ser impedida com a adoção de senhas fortes e exclusivas para cada website ou serviço.

Nos ataques de stuffing de credenciais, a força da senha não é relevante, porque o invasor está usando uma conta comprometida como ponto de partida para outros logins. Até mesmo as senhas mais fortes podem estar vulneráveis se forem compartilhadas entre várias contas.

Como detectar e impedir o stuffing de credenciais?

Para impedir ataques de stuffing de credenciais no nível da empresa, as organizações precisam entender que as práticas recomendadas tradicionais de segurança, como impor requisitos de senhas fortes e monitorar tentativas seguidas de login não vão ajudar muito neste caso. Dito isso, há diversas medidas efetivas que as empresas podem adotar para impedir ataques de stuffing de credenciais e limitar o impacto deles:

Ativar a autenticação multifatorial (MFA)

A autenticação multifatorial (MFA) exige que todos os usuários adotem mais de um método de verificação de identidade. Isso pode incluir uma combinação de credenciais de conta tradicionais, tokens de segurança por mensagem de texto, ferramentas de autenticação ou verificação biométrica. Organizações que adotam a autenticação multifatorial (MFA) estão significativamente mais protegidas contra ataques de stuffing de credenciais, porque os invasores geralmente só estão em posse das credenciais da conta — que ficam praticamente inúteis sem um fator de autenticação secundário.

Implementar a higiene de TI

Uma ferramenta de higiene de TI, como CrowdStrike Falcon® Discover™, dá visibilidade sobre o uso de credenciais em toda a organização, permitindo a detecção de atividades administrativas potencialmente maliciosas. Com a funcionalidade de monitoramento de contas, as equipes de segurança podem verificar a presença de contas criadas por invasores para manter o acesso. Ela também ajuda a garantir a troca frequente das senhas para que as credenciais roubadas não possam ser usadas para sempre.

Implementar a investigação de ameaças proativa

A verdadeira investigação de ameaças proativa, como a oferecida pelo CrowdStrike® Falcon OverWatch™, possibilita a busca contínua, 24 horas por dia, por ataques desconhecidos e sigilosos que usam credenciais roubadas e são realizados sob a aparência de usuários legítimos. Estes são os tipos de ataques que as medidas de segurança padrão podem acabar deixando passar. Com a experiência adquirida no "combate diário" contra atores sofisticados de Ameaças Persistentes Avançadas (APTs), as equipes OverWatch encontram e rastreiam milhões de pistas de investigação sutis todos os dias, validando a legitimidade delas e alertando os clientes quando necessário.

Educar os funcionários sobre os riscos das senhas

Ataques de stuffing de credenciais quase sempre podem ser rastreados até indivíduos que reutilizam a mesma senha em vários serviços. Mesmo que o usuário tenha escolhido uma senha forte, ele corre o risco de ter suas contas comprometidas se usar a mesma credencial em plataformas diferentes. É fundamental educar os usuários sobre a importância de não reutilizar senhas e instrui-los sobre as práticas recomendadas de criação de senhas fortes e únicas. Disponibilize uma ferramenta de gerenciamento de senhas para evitar que os usuários recorram a senhas fáceis de lembrar e adote uma ferramenta de descoberta para identificar senhas padrão que ainda não tenham sido alteradas nos dispositivos.