O que é “Credential Stuffing”?

Um dos costumes mais importantes a abandonar é o de reutilizar a mesma senha em todos seus sites e aplicativos. Se uma pessoa mal intencionada tivesse acesso a tal senha, ela poderia entrar em todas as suas contas. E todos nós já fizemos isso, assim como Katy Perry, e até mesmo Drake, para citar alguns malfeitores. Por exemplo, recentemente houve uma violação de contas do Zoom. A plataforma em si não foi hackeada. Suas contas sofreram ataques do tipo “credential stuffing”: os hackers usaram uma leva de credenciais roubadas anteriormente para obter acesso a um grande número de contas do Zoom.

Bom, como os hackers conseguem obter senhas e como elas são usadas em ataques do tio “credential stuffing”? Veja mais abaixo.

Cinco maneiras usadas por hackers para roubar senhas

1. O roubo de um banco de dados contendo suas credenciais de login — esta foi uma das maiores fontes de credenciais roubadas até hoje.
2. Ataques de phishing e engenharia social — neste método, o hacker enviará um e-mail de phishing para roubar informações de sua conta, ou ele fará você clicar em um link malicioso para inserir suas credenciais em um site falso.
3. Keyloggers e outros malwares — hackers podem tentar fazer com que usuários baixem malware (um programa de software malicioso) para capturar suas credenciais de login, informações de pagamento e outros artefatos, incluindo informações privadas.
4. Ataques por senha — ataques por senha, assim como um ataque de força bruta, usam programas de software automatizados e projetados para hackear ou adivinhar seu senha. 
5. Monitoramento WiFi — nunca faça login em uma conta se você estiver conectado a uma rede WiFi pública ou desprotegida, caso não esteja protegido por software como uma VPN. Hackers usam ferramentas de monitoramento de rede facilmente acessíveis para interceptar suas credenciais e outros dados.

Pare de reutilizar senhas fracas, baixe a Dashlane hoje gratuitamente.

Não se esqueça das suas contas comerciais! Use a Dashlane para proteger suas senhas pessoais e comerciais. Experimente grátis por 30 dias.

Como ataques de “credential stuffing” são usados para explorar suas senhas reutilizadas

Ataques de coleta e reutilização de credenciais escolhem um site de destino e analisam os processos e a sequência de login do site. Em seguida, o hacker pode criar um script automatizado ou usar um software para testar sistematicamente se as credenciais roubadas realmente conseguem iniciar uma sessão no site alvo. Para mascarar sua atividade, o hacker aluga botnets — redes de computadores controladas por hackers usando malware — ou uma lista de endereços IP de proxy para que pareça que tentativas de login estão sendo feitas por usuários reais e em vários computadores. Eventualmente, o hacker será bem-sucedido em alguns sites com algumas credenciais, e ele conseguirá dominar essas contas e roubar ativos.

Embora o processo pareça um tanto complexo, hackers podem lançar um ataque em poucas horas com facilidade.

Qual a melhor forma de proteger suas contas contra hackers que usam “credential stuffing”?

A melhor maneira de proteger suas contas e dados contra ataques do tipo “credential stuffing” é parar, imediatamente, de reutilizar as mesmas senhas em várias contas. Todas as suas contas, especialmente as relacionadas a compras, finanças, viagens e governamentais, devem ser protegidas com senhas fortes e exclusivas. Uma senha forte deve ter um mínimo de 8 caracteres e incluir uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Veja mais dicas que poderão ajudar você a abandonar o costume de reutilizar senhas:

• Use um gerenciador de senhas — se você não estiver conseguindo criar e gerenciar senhas longas e complexas, use um gerenciador de senhas como a Dashlane. O gerenciador fornece um gerador de senhas integrado que ajuda você a criar senhas fortes para novas contas, e alertas de segurança que notificam você imediatamente para alterar suas senhas após a detecção de uma violação de dados.
• Habilite a autenticação de dois fatores — habilite a autenticação de dois fatores (2FA) em todas as suas contas online, principalmente em sites e aplicativos visados, como suas redes sociais e contas de internet banking.