Principais táticas usadas por cibercriminosos para roubo de dados e credenciais


Ao falar sobre proteção e prevenção na vida digital, o foco costuma ser dedicado a ameaças como ransomware. Entretanto, de acordo pesquisas da ESET, empresa de detecção proativa de ameaças, antes de executar diferentes formas de ataque, os agentes mal-intencionados se apropriam de credenciais pessoais.

O chefe do Laboratório de Pesquisa da ESET, Camilo Gutierrez Almaya, explica que ter acesso a essas informações concede ao criminoso acesso a dados confidenciais e importantes para a segurança de sistemas, permitindo a realização de fraudes financeiras, roubo de identidade, e até mesmo, a infiltração em sistemas de corporações, públicas e privadas, para roubo de informações privilegiadas. 

“Não é surpresa que o mercado ilegal de credenciais roubadas esteja bem estabelecido, pois, de acordo com um relatório sobre violação de dados de 2023 da Verizon, mais da metade dos crimes de identidade tiveram a mesma origem… Sim, as senhas comprometidas. A variedade de frentes a serem enfrentadas para prevenir infecções e permanecer protegido é vasta: desde a exploração de vulnerabilidades, tanto zero-day quanto as mais antigas, mas ainda não corrigidas; a falta de atualização dos sistemas; até os golpes de engenharia social e phishing que buscam obter nossos dados sensíveis e privados”, salienta Camilo.

As principais maneiras pelas quais os cibercriminosos conseguem, ou tentam, obter credenciais (senhas, PIN, respostas a perguntas secretas, etc.) são: Phishing e engenharia social – se fazem passar por amigos, familiares ou organizações públicas em um e-mail ou outros meios de comunicação -,

Ataques de força bruta – técnicas para testar combinações de senhas e obter as credenciais legítimas da vítima: por meio do “credential stuffing”, os atacantes despejam grandes volumes de combinações de nomes de usuário e senhas que foram previamente vazadas em um software automatizado que as testará em vários sites na esperança de encontrar uma correspondência, por exemplo; outro tipo é o “password spraying”, um software automatizado que testa senhas de uma lista até encontrar uma legítima ou seja, senhas fracas, fáceis de lembrar ou que são muito comuns facilitam o uso dessas técnicas -; Vazamentos de dados – comércio de credenciais em fóruns clandestinos para serem utilizadas em diferentes serviços por outros cibercriminosos -, Malware infostealer – tipo de malware cujo principal objetivo é roubar informações do computador infectado e enviá-las aos cibercriminosos; os infostealers em atividade são frequentemente distribuídos nos mercados da dark web por um custo relativamente baixo, facilitando assim que outros criminosos usem. 

Em 2023, a ESET analisou um caso real que demonstra como um infostealer obteve as credenciais das contas de Instagram, Facebook, Twitter, Hotmail, Twitch, Steam e Spotify da vítima. “A gestão de credenciais deve ser um pilar nessas estratégias de proteção, da mesma forma que manter os dispositivos atualizados, ter uma solução de segurança instalada em todos os dispositivos, ficar atualizado sobre os novos ataques e táticas dos cibercriminosos ou saber como reconhecer uma tentativa de phishing é fundamental para nossa segurança digital”, Camilo. 

Senhas robustas e armazenadas de forma segura, por exemplo, utilizando gerenciadores de senhas, e a ativação de fatores adicionais de autenticação são práticas vitais para manter as credenciais fora do alcance dos cibercriminosos.

Últimas Notícias

Fortalecendo a prevenção e o enfrentamento à Exploração Sexual de Crianças e Adolescentes

A Vibra, maior distribuidora de combustíveis e lubrificantes do Brasil, está comprometida com a causa social de "Enfrentamento à Exploração Sexual de Crianças e...
advertisementspot_img

Busch do Brasil expande seu portfólio com produtos da Pfeiffer Vacuum

A Busch do Brasil Ltda., uma subsidiária integral da Busch SE, anunciou expansão de seu portfólio: está assumindo a distribuição e o serviço dos produtos...

Identificação padronizada para segurança do alimento

Uma nova forma de identificar produtos no varejo, que transforma a rotina dos consumidores e os processos de automação das empresas da cadeia de...