O que é Credential Stuffing e como evitar este ataque

O credential stuffing é um ataque cibernético no qual as credenciais obtidas por meio de uma violação de dados são usadas para se fazer login em outro serviço não relacionado.

Os ataques de credential stuffing são possíveis porque muitos usuários usam uma mesma combinação de nome de usuário e senha em vários sites. De acordo com uma pesquisa da SecureAuth, 81% dos usuários reutilizam uma senha em dois ou mais sites, e 25% deles usam a mesma senha na maioria das suas contas. Ainda assim, 69% dessas pessoas se preocupam com a possibilidade de que as suas informações pessoais sejam roubadas.

Geralmente, os dados mais coletados no credential stuffing são usuários e senhas, uma vez que muitas pessoas utilizam as mesmas credenciais em serviços distintos. E isso serve de alerta, pois essa prática pode expor uma série de recursos utilizados por esses usuários.

Neste artigo, vamos explicar como o credential stuffing funciona e quais são as medidas e ferramentas capazes de evitar esses ataques.

Como são feitos os ataques de credential stuffing

O credential stuffing é um tipo de ataque cibernético no qual as credenciais de contas violadas geralmente consistem em listas de nomes de usuário ou endereços de e-mail. Nesse caso, as senhas correspondentes são usadas para se obter acesso não autorizado a contas de usuário por meio de solicitações de login automatizado em grande escala, direcionadas contra um aplicativo da web.

Diferentemente do credential cracking, os ataques de credential stuffing não tentam usar força bruta ou adivinhar as senhas. O invasor simplesmente automatiza os logins para um grande número (milhares a milhões) de pares de credenciais previamente descobertos. Para isso, ele utiliza ferramentas de automação da web padrão, como Selenium, cURL e PhantomJS. Para agravar a situação, algumas ferramentas foram projetadas especificamente para realizar esses ataques, como Sentry MBA, SNIPR, STORM, Blackbullet e Openbullet.

Por exemplo, um invasor pode pegar uma lista de nomes de usuário com as respectivas senhas de uma loja de departamentos, obtida por meio da violação dos dados, e usar essas mesmas credenciais para tentar fazer login no site de um banco. O cibercriminoso espera que ao menos uma fração dessas senhas seja mantida por esses usuários para fazer o acesso ao banco.

O risco de vulnerabilidade no uso de senhas

O uso de senhas simples ou repetidas facilita os acessos no dia a dia, mas também pode abrir brechas de segurança e permitir que hackers descubram as credenciais de diversos acessos. A praticidade de simplesmente repetir as credenciais de login e senha pode se tornar um hábito, sem que os usuários percebam os riscos envolvidos nisso. Como resultado, os ataques de credential cracking podem causar imensos prejuízos às pessoas e empresas.

Um único software é capaz de testar milhões de combinações possíveis por segundo e, em poucos instantes, identificar o padrão simples utilizado. Ou seja, para os hackers, a credencial simples ou comum é a mais rápida de ser violada.

Atualmente, a senha ainda é considerada o principal recurso para comprovar a identidade de um usuário e autenticar seu acesso. Mas será que assim os sistemas e dados estão realmente protegidos? Afinal, uma única credencial basta para vetar ou liberar o acesso de um usuário. Portanto, qualquer indivíduo ou máquina pode obter acesso facilmente a dados e informações sigilosas, caso não sejam tomadas as medidas de proteção e prevenção necessárias.

Redes sociais, e-mails empresariais e contas financeiras, quando dependem de uma única etapa de verificação, se tornam alvos de ataques cibernéticos, corrupções de acessos ou vazamentos de dados.

Aprenda a evitar os ataques de credential stuffing

Para prevenir esses crimes, a cultura de segurança digital das pessoas precisa ser repensada e reestruturada. Afinal, a segurança dos nossos dados não pode depender de um conjunto de oito caracteres (mesmo que eles contenham maiúsculas, números ou símbolos). Por isso, a prática de transformar as senhas em combinações complexas deve se tornar frequente quanto antes.

No entanto, apenas essa medida isolada não basta. Os usuários precisam optar por uma estrutura de verificação em etapas, com muito mais dados, e não se contentar com o uso de uma única informação. Portanto, liberar um acesso deve se tornar uma ocasião revestida de critérios e testes. Afinal, ter apenas uma solicitação de senha não é uma política segura.

A verificação multifator, feita em várias etapas, possibilita extrair do usuário o máximo de dados possíveis, de modo assertivo e seguro, com avaliações rígidas, precisas e sequenciais. Desse modo, ela permite avaliar o grau de autenticidade do usuário a partir de diferentes ângulos, para só depois fornecer um acesso aberto e integral.

Para simplificar esse processo, podem ser usadas ferramentas de duplo fator de autenticação, também chamadas de 2FA. Essa função permite que os usuários tenham mais segurança em seus acessos, a partir de uma dupla validação no login, na qual é solicitado um token gerado a partir do aplicativo.

Facilmente implementadas nos sistemas das empresas, essas ferramentas oferecem uma interface muito amigável aos usuários, favorecendo uma interação intuitiva com eles. Com esse recurso, é possível confirmar tanto a autenticidade do seu login quanto confirmar para a plataforma que é você que está realizando o acesso, dificultando assim o ataque de cibercriminosos.

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos