Principais táticas usadas por cibercriminosos para roubo de dados e credenciais


Ao falar sobre proteção e prevenção na vida digital, o foco costuma ser dedicado a ameaças como ransomware. Entretanto, de acordo pesquisas da ESET, empresa de detecção proativa de ameaças, antes de executar diferentes formas de ataque, os agentes mal-intencionados se apropriam de credenciais pessoais.

O chefe do Laboratório de Pesquisa da ESET, Camilo Gutierrez Almaya, explica que ter acesso a essas informações concede ao criminoso acesso a dados confidenciais e importantes para a segurança de sistemas, permitindo a realização de fraudes financeiras, roubo de identidade, e até mesmo, a infiltração em sistemas de corporações, públicas e privadas, para roubo de informações privilegiadas. 

“Não é surpresa que o mercado ilegal de credenciais roubadas esteja bem estabelecido, pois, de acordo com um relatório sobre violação de dados de 2023 da Verizon, mais da metade dos crimes de identidade tiveram a mesma origem… Sim, as senhas comprometidas. A variedade de frentes a serem enfrentadas para prevenir infecções e permanecer protegido é vasta: desde a exploração de vulnerabilidades, tanto zero-day quanto as mais antigas, mas ainda não corrigidas; a falta de atualização dos sistemas; até os golpes de engenharia social e phishing que buscam obter nossos dados sensíveis e privados”, salienta Camilo.

As principais maneiras pelas quais os cibercriminosos conseguem, ou tentam, obter credenciais (senhas, PIN, respostas a perguntas secretas, etc.) são: Phishing e engenharia social – se fazem passar por amigos, familiares ou organizações públicas em um e-mail ou outros meios de comunicação -,

Ataques de força bruta – técnicas para testar combinações de senhas e obter as credenciais legítimas da vítima: por meio do “credential stuffing”, os atacantes despejam grandes volumes de combinações de nomes de usuário e senhas que foram previamente vazadas em um software automatizado que as testará em vários sites na esperança de encontrar uma correspondência, por exemplo; outro tipo é o “password spraying”, um software automatizado que testa senhas de uma lista até encontrar uma legítima ou seja, senhas fracas, fáceis de lembrar ou que são muito comuns facilitam o uso dessas técnicas -; Vazamentos de dados – comércio de credenciais em fóruns clandestinos para serem utilizadas em diferentes serviços por outros cibercriminosos -, Malware infostealer – tipo de malware cujo principal objetivo é roubar informações do computador infectado e enviá-las aos cibercriminosos; os infostealers em atividade são frequentemente distribuídos nos mercados da dark web por um custo relativamente baixo, facilitando assim que outros criminosos usem. 

Em 2023, a ESET analisou um caso real que demonstra como um infostealer obteve as credenciais das contas de Instagram, Facebook, Twitter, Hotmail, Twitch, Steam e Spotify da vítima. “A gestão de credenciais deve ser um pilar nessas estratégias de proteção, da mesma forma que manter os dispositivos atualizados, ter uma solução de segurança instalada em todos os dispositivos, ficar atualizado sobre os novos ataques e táticas dos cibercriminosos ou saber como reconhecer uma tentativa de phishing é fundamental para nossa segurança digital”, Camilo. 

Senhas robustas e armazenadas de forma segura, por exemplo, utilizando gerenciadores de senhas, e a ativação de fatores adicionais de autenticação são práticas vitais para manter as credenciais fora do alcance dos cibercriminosos.

Últimas Notícias

Mudança no comando da Stellantis

O CEO da Stellantis, Carlos Tavares, renunciou ao cargo no domingo (01/12) e o conselho de administração da empresa aceitou a decisão. A Stellantis...

Posicionamento do Idec sobre PL das eólicas offshore

Em Brasília, a votação do Projeto de Lei nº 576/2021, que regulamenta a geração de energia eólica em alto mar no Brasil, foi adiada...

Nova presidência na Microsoft Brasil

A Microsoft anunciou (03/12/24) duas mudanças em sua organização. Após quase 6 anos liderando a subsidiária brasileira, Tania Cosentino se tornará Gerente Geral de...