Oito tipos de ataques baseados em identidade

O que são ataques baseados em identidade?

Os ataques baseados em identidade são ciberataques que miram as credenciais do usuário, como nomes de usuário, senhas e tokens de autenticação, para obter acesso não autorizado a sistemas ou dados. Esses ataques exploram vulnerabilidades na segurança de identidade por meio de métodos como phishing, stuffing de credenciais, bypass de autenticação multifatorial (MFA) e sequestro de sessão, permitindo que os invasores se façam passar por usuários legítimos e se movimentem lateralmente dentro de uma rede. Algumas razões para o aumento dos ataques à identidade incluem o uso de IA adversária, a migração das empresas para provedores de identidade baseados em nuvem e a adoção de mais aplicativos de software como serviço (SaaS). 5 das 10 principais táticas do MITRE ATT&CK são baseadas em identidade.

Infelizmente, os ataques de identidade são muito difíceis de detectar. Quando as credenciais válidas de um usuário são comprometidas, e um adversário se disfarça dessa pessoa, muitas vezes é bastante difícil diferenciar o comportamento típico do usuário e o do invasor usando as ferramentas e medidas de segurança tradicionais.

Para entender melhor o cenário de ameaças à identidade, vamos conhecer oito ataques comuns desse tipo e ver como eles funcionam.

Oito tipos de ataques baseados em identidades

Quais são alguns ataques comuns baseados em identidade? 

1. Phishing e engenharia social

2. Stuffing de Credenciais

3. Ataque Golden Ticket

4. Kerberoasting

5. Ataque MITM

6. Ataque Pass-the-Hash

7. Password spraying

8. Ataque silver ticket

1. Phishing e engenharia social

Phishing é um dos métodos de ataque baseados em identidade mais comuns, no qual os cibercriminosos manipulam as vítimas para que revelem informações confidenciais, como credenciais de login ou dados financeiros. Esses ataques podem assumir várias formas, incluindo phishing por e-mail, em que os invasores se fazem passar por organizações legítimas, spear phishing, que mira indivíduos específicos com mensagens personalizadas, e whaling, que se concentra em executivos de alto escalão. Outras variantes incluem o vishing (phishing por voz), em que os invasores usam chamadas telefônicas para extrair informações, e o smishing (phishing por SMS), que utiliza mensagens de texto para enganar as vítimas. 

Táticas de engenharia social, como urgência, medo ou falsificação de identidade, tornam o phishing altamente eficaz, muitas vezes contornando as medidas de segurança tradicionais. Para se defender contra ataques de phishing, as organizações devem implementar filtragem de e-mails, treinamento para conscientização sobre segurança para funcionários e técnicas avançadas de verificação de identidade, como a autenticação multifatorial (MFA) e análise comportamental.

2. Stuffing de credenciais

Stuffing de credenciais é um ciber ataque no qual ciber criminosos usam credenciais de login roubadas de um sistema para tentar acessar um outro sistema não relacionado.

Os ataques de stuffing de credenciais seguem um caminho de ataque relativamente simples. Primeiro, os invasores usam credenciais de contas roubadas ou compram credenciais comprometidas na dark web. Com as credenciais em mãos, o invasor configura uma botnet ou outra ferramenta de automação para realizar tentativas de login simultâneas em várias contas não relacionadas. O bot então verifica se o acesso foi concedido a serviços ou contas secundárias. Caso a tentativa de login tenha sucesso, o invasor coleta mais informações, tais como dados pessoais, informações de cartão de crédito armazenadas ou dados bancários.

3. Ataque Golden Ticket

Um ataque Golden Ticket é uma tentativa de obter acesso quase ilimitado ao domínio de uma organização, acessando dados do usuário armazenados no Microsoft Active Directory (AD). Esse ataque explora as vulnerabilidades no protocolo de autenticação Kerberos, que é usado para acessar o AD, permitindo que o invasor burle o processo normal de autenticação e receba acesso privilegiado.

Para realizar um ataque Golden Ticket, o invasor precisa do nome de domínio totalmente qualificado, do identificador de segurança do domínio, do hash da senha KRBTGT e do nome de usuário da conta que eles vão acessar.

4. Kerberoasting

Kerberoasting é uma técnica de ataque pós-exploração que tenta decifrar a senha de uma conta de serviço dentro do AD.

Nesse tipo de ataque, o adversário se disfarça de usuário de conta com um nome principal de serviço (SPN) e solicita um ticket, que contém uma senha criptografada, ou Kerberos. (Um SPN é um atributo que relaciona um serviço a uma conta de usuário dentro do Active Directory). O adversário então trabalha off-line para decifrar o hash da senha, usando técnicas de força bruta.

Quando as credenciais em texto livre da conta de serviço são expostas, o adversário se apossa das credenciais do usuário que podem ser usadas para se passar pelo proprietário da conta.

5. Ataque de man-in-the-middle (MitM)

Um ataque de man-in-the-middle é um tipo de ciberataque no qual um invasor escuta uma conversa entre duas pessoas, dois sistemas ou uma pessoa e um sistema.

O objetivo de um ataque MITM é coletar dados pessoais, senhas ou detalhes bancários e/ou convencer a vítima a realizar uma ação, como alterar credenciais de login, concluir uma transação ou iniciar uma transferência de fundos.

6. Ataque pass-the-hash

Pass the Hash - PtH é um tipo de ataque de cibersegurança no qual um adversário rouba um “hash” de credenciais de usuário e usa para criar uma nova sessão de usuário na mesma rede.

O invasor obtém acesso inicial à rede através de uma técnica de engenharia social. Depois de ter acesso à conta do usuário, o invasor usa várias ferramentas e técnicas para extrair dados da memória ativa que o levam aos hashes de senha.

Munido de um ou mais hashes de senha válidos, o invasor tem acesso total ao sistema, possibilitando o movimento lateral pela rede. Ao se passar pelo usuário em várias aplicações, o invasor realiza a coleta de hashes — acumulando hashes adicionais em todo o sistema. Esses hashes podem ser usados para acessar mais áreas da rede, elevar privilégios de contas, atacar contas privilegiadas e estabelecer backdoors e outros pontos de acesso para usar no futuro.

7. Password spraying

Um ataque de password spraying é uma técnica de força bruta que envolve um hacker usar uma única senha contra várias contas.

Primeiro, o invasor obtém uma lista de nomes de usuário e, em seguida, tenta efetuar login em todas essas contas com a mesma senha. O invasor repete o processo com novas senhas até que o ataque seja bem-sucedido, ou seja, até que o sistema de autenticação seja comprometido e ele ganhe acesso às contas e aos sistemas.

8. Ataque silver ticket

Um silver ticket é um tíquete de autenticação falso, geralmente criado quando um invasor rouba a senha de uma conta. Os ataques de silver ticket usam essa autenticação para forjar tíquetes de serviço de concessão de tíquetes. Esse tíquete é criptografado e dá acesso ao recurso para o serviço específico alvo do ataque silver ticket.

Depois que o invasor consegue o "silver ticket", ele consegue executar código como se fosse o sistema local alvejado. Em seguida, ele pode aumentar os próprios privilégios no host local e começar a se mover lateralmente no ambiente comprometido ou até mesmo criar um golden ticket. Dessa forma, ele ganha a acesso a outras coisas além do serviço alvejado, o que também é uma tática para despistar medidas de cibersegurança.

Práticas recomendadas para proteção contra ataques baseados em identidade

Para se defenderem contra ataques baseados em identidade, as organizações devem implementar medidas de segurança em camadas que vão além dos métodos de autenticação tradicionais. A seguir, apresentamos quatro práticas recomendadas essenciais para fortalecer a segurança da identidade:

Implemente a autenticação multifatorial (MFA) em todos os lugares

• Exija pelo menos dois fatores de autenticação (por exemplo, senha + biometria ou token de hardware).
• Use MFA resistente a phishing, como chaves de segurança FIDO2, para evitar o roubo de credenciais.
• Evite depender da MFA baseada em SMS, pois os invasores podem contorná-la com a troca de SIM.

Adote um modelo de segurança zero trust

• Exija verificação contínua de identidade antes de conceder acesso aos recursos.
• Implemente o princípio de privilégio mínimo, garantindo que os usuários tenham apenas as permissões necessárias para suas funções.
• Use a microssegmentação para evitar movimento lateral após o comprometimento de credenciais.

Use a detecção de ameaças à identidade orientada por IA

• Implemente análises comportamentais para detectar tentativas de login incomuns ou uso indevido de credenciais.
• Monitore padrões de login com falha, anomalias de localização e elevação de privilégios.
• Automatize respostas a ameaças de identidade em tempo real, como logouts forçados ou solicitação repetida de MFA.

Reduza a dependência de senhas com a autenticação sem senha

• Implemente a autenticação biométrica (ex.: impressão digital, reconhecimento facial).
• Use chaves de segurança de hardware ou soluções de SSO (single sign-on, logon único) para maior segurança.
• Imponha a autenticação por chave de acesso, eliminando os riscos associados a senhas fracas ou reutilizadas.

Ao combinar essas práticas recomendadas, as organizações podem mitigar ataques baseados em identidade e reduzir o risco de comprometimento de credenciais.

Segurança de identidade com IA: como o Falcon Identity Protection previne ataques

As medidas de segurança tradicionais, por si só, já não são suficientes para impedir ataques baseados em identidade, já que os invasores continuam a explorar credenciais roubadas, métodos de autenticação ineficientes e lacunas na segurança da identidade. O CrowdStrike Falcon® Identity Protection oferece visibilidade, detecção e resposta em tempo real a ameaças de identidade, impedindo proativamente que adversários comprometam contas de usuários. Ao aproveitar a análise comportamental orientada por IA, o monitoramento contínuo de identidade e a autenticação baseada em risco, o Falcon Identity Protection detecta tentativas de acesso não autorizado, movimento lateral e técnicas de burla da MFA em tempo real. A plataforma integra-se perfeitamente aos provedores de identidade (IdPs) atuais e aplica os princípios de Zero Trust, garantindo que apenas usuários verificados obtenham acesso a sistemas críticos. 

Além disso, o CrowdStrike Falcon® Shield impede que invasores elevem privilégios, executem movimento lateral ou consigam persistência em um ambiente com políticas de aplicação preventiva, monitoramento de sessão e interrupção ativa de ataques. Ao combinar o Falcon Identity Protection e o Falcon Shield, as organizações podem estabelecer uma estratégia de segurança de identidade de ponta a ponta, prevenindo ataques baseados em identidade em todas as etapas, antes que as credenciais sejam roubadas, usadas indevidamente ou exploradas.