São Paulo, 19 de janeiro de 2022 – Como a senha geralmente é a única coisa entre um cibercriminoso e os dados pessoais e financeiros, os criminosos visam roubar ou descriptografar esses logins. Uma pessoa tem em média 100 credenciais de login para lembrar, e isso tem aumentado nos últimos anos. Portanto, não é de admirar que os caminhos mais curtos sejam escolhidos e a segurança seja prejudicada como resultado. É por esse motivo que a ESET, empresa líder em detecção proativa de ameaças, alerta sobre as 5 formas mais comuns de os cibercriminosos roubarem senhas, para estarem mais bem preparados para minimizar os riscos de se tornarem vítimas e, assim, proteger as contas online.
As senhas são as chaves virtuais do mundo digital, pois fornecem acesso a serviços bancários online, e-mail e redes sociais, contas como Netflix ou Uber, além de todos os dados hospedados em armazenamento em nuvem. Ao obter os logins, um cibercriminoso pode:
● Roubar informações de identificação pessoal e vendê-las a outros criminosos em fóruns.
● Vender o acesso à própria conta. Sites criminosos da dark web rapidamente comercializam esses logins. Os compradores podem usar o acesso para obter tudo, desde viagens gratuitas de táxi e streaming de vídeo até viagens com desconto de contas com milhas aéreas comprometidas.
● Usar senhas para desbloquear outras contas nas quais você usa a mesma senha.
A ESET alerta sobre quais são as 5 técnicas que os cibercriminosos mais usam para roubar senhas:
1. Phishing e engenharia social: a engenharia social é um truque psicológico projetado para convencer alguém a fazer algo que não deveria, e o phishing é a forma mais conhecida de engenharia social. Por meio desse tipo de ataque, os cibercriminosos se apresentam como entidades legítimas, amigos, familiares, organizações públicas e empresas conhecidas, etc. O e-mail ou texto recebido parecerá autêntico, mas incluirá um link malicioso ou um anexo que, se clicado, fará o download de um malware ou o levará a uma página que solicitará que você insira dados pessoais. Felizmente, existem muitas maneiras de detectar os sinais de alerta de um ataque de phishing.
Os golpistas até usam telefonemas para obter diretamente logins e outras informações pessoais de suas vítimas, muitas vezes fingindo ser engenheiros de suporte técnico. Isso é conhecido como vishing (phishing baseado em voz).
2. Malware: outra maneira popular de obter senhas é por meio de malware. Os e-mails de phishing são o principal vetor desse tipo de ataque, embora você também possa ser vítima de malware clicando em um anúncio malicioso (malvertising) ou mesmo visitando um site previamente comprometido (drive-by-download). Como o pesquisador da ESET Lukas Stefanko mostrou muitas vezes, o malware pode até estar oculto em um aplicativo móvel de aparência legítima, que é frequentemente encontrado em lojas de aplicativos de terceiros.
Existem muitas variedades de malware que roubam informações, mas alguns dos mais comuns são projetados para gravar pressionamentos de tecla ou fazer capturas de tela de um dispositivo e enviá-las aos invasores. Entre eles, os keyloggers.
3. Ataques de força bruta: o número médio de senhas que uma pessoa precisa gerenciar aumentou cerca de 25% em 2020. Como resultado, a maioria das pessoas tende a usar senhas fáceis de lembrar (e adivinhar) e comete o erro de usar as mesmas senhas para acessar vários sites e serviços. No entanto, o que muitas vezes é esquecido é que senhas fracas podem abrir a porta para as chamadas técnicas de força bruta para descobrir senhas.
Um dos tipos mais comuns de força bruta é o preenchimento de credenciais. Nesse caso, os invasores despejam grandes volumes de combinações de nome de usuário/senha previamente comprometidas em software automatizado. A ferramenta então testa as credenciais em um grande número de sites na esperança de encontrar uma correspondência. Dessa forma, os cibercriminosos podem desbloquear várias contas com uma única senha.
No ano passado, houve cerca de 193 trilhões dessas tentativas em todo o mundo, segundo uma estimativa da Akamai. Recentemente, o governo canadense foi vítima desse ataque.
Outra técnica de força bruta é a pulverização de senha. Nesse caso, os criminosos usam software automatizado para testar uma lista de senhas comumente usadas em uma conta.
4. Por dedução: embora os cibercriminosos tenham ferramentas automatizadas para realizar ataques de força bruta e descobrir senhas, às vezes eles nem precisam delas - mesmo simples suposições, ao contrário da abordagem mais sistemática usada em ataques de força bruta, podem fazer o trabalho. A senha mais comum para 2021 foi “123456”, seguida por “123456789”. E se a mesma senha for reciclada ou um derivado próximo for usado para acessar várias contas, a tarefa dos invasores será facilitada, adicionando um risco a mais de roubo de identidade e fraude.
5. Shoulder surfing: vale lembrar que algumas das técnicas de espionagem também representam um risco. Esta não é a única razão pela qual olhares indiscretos sobre o ombro dos usuários ainda são um risco. Uma versão de alta tecnologia, conhecida como ataque "man-in-the-middle", envolve espionagem de Wi-Fi e pode permitir que cibercriminosos em conexões Wi-Fi públicas espionem as senhas na mesma rede.
Há muitas maneiras de bloquear essas técnicas, seja adicionando uma segunda forma de autenticação, gerenciando senhas com mais eficiência ou tomando medidas para impedir o roubo em primeiro lugar. A ESET sugere as seguintes dicas para proteger suas credenciais de login:
● Habilite a autenticação de dois fatores (2FA) em todas as contas;
● Use apenas senhas fortes e exclusivas para todas as contas online, especialmente contas bancárias, de e-mail e de redes sociais;
● Evite reutilizar suas credenciais de login em várias contas e cometer outro dos erros comuns de senhas;
● Use um gerenciador de senhas, que armazena senhas fortes e exclusivas para cada site e conta, tornando os logins simples e seguros;
● Altere a senha imediatamente se um provedor advertir que os dados podem ter sido comprometidos;
● Use apenas sites HTTPS para fazer login;
● Não clique em links ou abra anexos em e-mails não solicitados;
● Baixe apenas aplicativos de lojas de aplicativos oficiais;
● Invista em software de segurança de um fornecedor respeitável para todos os dispositivos;
● Certifique-se de que todos os sistemas operacionais e aplicativos estejam atualizados para a versão mais recente;
● Cuidado com olhares indiscretos por cima do ombro em espaços públicos;
● Nunca faça login em uma conta se estiver conectado a uma rede Wi-Fi pública. Caso essa rede seja usada, é recomendável usar uma VPN.
“A extinção de senhas foi prevista por mais de uma década. No entanto, as alternativas geralmente têm dificuldade em substituir a própria senha, o que significa que os usuários terão que resolver o problema com as próprias mãos. Manter-se vigilante e proteger a segurança de suas credenciais de login é o primeiro passo para proteger as informações pessoais”, comenta Camilo Gutierrez Amaya, chefe do Laboratório de Pesquisa ESET América Latina.
Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/