O que é preenchimento de credenciais – como os hackers tentam não autorizados Logins

By Nick Anderson Sem comentários 5 minutos

As suas credenciais online são as informações mais importantes que lhe permitem aceder a vários serviços. As credenciais verificam a propriedade. É a sua chave para as plataformas online nas quais você se inscreveu. Por serem extremamente sensíveis, essas informações são valiosas para os hackers. Saiba como os hackers usam o Credential Stuffing para obter acesso às suas contas e como evitá-lo.

Recheio de credenciais

Get FastestVPN

Preenchimento de credenciais explicado

Hacking é uma prática de obter acesso não autorizado a um sistema para realizar uma ação de natureza nefasta. Você deve ter ouvido falar de violações em serviços que fazem manchetes no espaço tecnológico de vez em quando. Não é incomum ver relatórios sobre o roubo de milhões de contas. O objetivo principal de atacar um serviço é extrair o banco de dados que contém o login informações dos usuários.
Mesmo tentativas frustradas podem levar pelo menos alguns dados. Normalmente, quando um serviço é afetado por uma violação, ele lança um comunicado à imprensa informando o público sobre o incidente. Ele também envia e-mails aos usuários registrados para alterar suas credenciais imediatamente, porque tais violações levam pelo menos uma parte do banco de dados com eles antes de serem detectadas e as defesas de segurança as expulsam.
Mas redefinir a senha dessa conta específica não deve ser a única coisa que você deve fazer.
Uma vez que um ataque cibernético tenha roubado as credenciais dos usuários, elas estarão à venda para qualquer pessoa disposta a pagar por isso, na Dark Web. A Dark Web é o lugar onde ocorrem todos os tipos de atividades ilegais. Você pode aprender sobre a Dark Web em nosso blog. Este ponto fraco da internet é onde os dados roubados são colocados à venda.
Como mencionamos, redefinir a senha dessa conta não o protegerá completamente do acesso autorizado. Os usuários tendem a usar uma senha em vários serviços. É onde entra o Credential Stuffing para invadir outras contas.
Depois que um hacker obtém as credenciais, ele executa um tipo de experimento de tentativa e erro em outros serviços para ver se a senha corresponde. Obviamente, inserir manualmente a lista de usuários e suas credenciais em vários outros sites consumirá muito tempo, portanto, os hackers delegam esse trabalho aos bots.

Sites colocam CAPTCHA (Turing Público Completamente Automatizado) durante login para dissuadir a massa login tentativas.
Mas mesmo com restrições como tempo limite e proibição de IP em vigor, o Credential Stuffing pode ser bem-sucedido. As ferramentas que contornam essas restrições saltam login tentativas entre vários endereços IP. Assim, os hackers podem continuar tentando senhas sem serem bloqueados.

O perigo real é quando as informações do cartão de crédito vazam online, não apenas as credenciais das plataformas de mídia social.
Um exemplo de ataque cibernético é o Yahoo. A empresa de serviços de internet revelou que uma violação em 2013 comprometeu as informações de 3 bilhões de usuários, tornando-se a maior violação de dados da história.

Preenchimento de credenciais não é força bruta

Credential Stuffing pode parecer uma técnica de Força Bruta, mas isso não é correto. Brute Force é uma técnica que aplica senhas geradas aleatoriamente a uma conta até encontrar a combinação certa. A diferença do Credential Stuffing aqui é lidar com o desconhecido – não há nenhuma indicação ou informação nas credenciais da conta. Brute Forcing é muito mais demorado e requer significativamente mais recursos de computação. A capacidade de computação afeta diretamente a eficiência do Brute Forcing.
O Credential Stuffing simplesmente pega as credenciais conhecidas e começa a aplicá-las a outros serviços. É como ter uma chave e esperar que haja outra fechadura que a aceite.

Como se defender contra o preenchimento de credenciais

Não há muito o que fazer quando um serviço é violado. Depende inteiramente da capacidade do serviço manter seus dados seguros.
Lembre-se de que gerar uma senha forte apenas protege você contra a força bruta. As senhas que incluem letras maiúsculas e minúsculas, caracteres especiais e números formam uma combinação poderosa.
No entanto, a única coisa que você pode fazer – e deve fazer – é manter senhas diferentes em todas as suas contas. É um desafio lembrar várias senhas que possuem uma combinação única, portanto, usar um gerenciador de senhas será útil. Se o gerenciador de senhas oferecer uma extensão de navegador da Web, ele preencherá automaticamente as credenciais para você em login.
Além de senhas fortes e exclusivas, habilite a autenticação de dois fatores (2FA). O recurso é uma forte defesa contra ataques não autorizados logins e adiciona uma segunda camada de verificação. Embora exija que você tenha um número ativo com você o tempo todo, os benefícios superam em muito o incômodo. Após a primeira autenticação de dois fatores, você pode optar por permitir futuras logins do mesmo dispositivo ou mantenha o 2FA para cada login.
Alguns serviços irão informá-lo se houve um login tentativa de um dispositivo desconhecido.
Mas uma violação de segurança não é a única maneira de os hackers obterem acesso às credenciais. A segurança fraca na Internet pode permitir que hackers interceptem pacotes de dados. O exemplo proeminente é como pontos de acesso Wi-Fi públicos podem ser usados ​​para realizar uma Man-in-the-Middle ataque. Redes não seguras ou uma conexão não segura entre o site e o usuário têm o potencial de dar uma chance aos hackers.
A maioria dos sites hoje usa HTTPS para proteger a comunicação na Internet com criptografia. No entanto, uma VPN torna todo tráfego de saída criptografado, inclusive para sites que usam apenas HTTP. FastestVPNA criptografia de nível militar garantirá a segurança ao navegar por redes não seguras em trânsito.

Conclusão

Com tudo isso dito, a perspectiva não é tão preocupante quanto parece. Estima-se que menos de 0.5% das tentativas de preenchimento de credenciais sejam bem-sucedidas. Mas isso não deve impedi-lo de tomar precauções. Nunca use uma senha em mais de um site; essa é a regra que você deve seguir.

Assuma o controle de sua privacidade hoje! Desbloqueie sites, acesse plataformas de streaming e ignore o monitoramento do ISP.

Get FastestVPN
Subscrever Newsletter
Receba as postagens de tendências da semana e os últimos anúncios de FastestVPN através do nosso boletim informativo por e-mail.
ícone
0 0 votos
Artigo Avaliação

Você pode Também gosto

O que é a pesca-gato e como identificá-la? O que é a pesca-gato e como identificá-la?
O que é inspeção profunda de pacotes e quais são seus desafios de segurança O que é inspeção profunda de pacotes e quais são seus desafios de segurança
O que é UPnP – Como isso deixa você vulnerável O que é UPnP – Como isso deixa você vulnerável
Subscrever
Receber por
convidado
0 Comentários
Comentários em linha
Ver todos os comentários