José Claudio Pereira
CRC/RS 46.949
joseclaudio@dataconcontabilidade.cnt.br
Eonara do Carmo Cesa Paim
CRC/RS 56.102
narapaim@dataconcontabilidade.cnt.br
Como sua senha pode cair em mãos erradas
Os cibercriminosos podem não apenas se apossar de contas, dados, dinheiro e até identidade, eles também usam o usuário como um elo fraco para atacar online amigos, parentes ou até mesmo a sua empresa
Para a maioria dos usuários, uma senha é simplesmente o método mais comum de autenticação para inúmeros serviços online. Mas para os cibercriminosos, é muito mais que isso – é um atalho para a vida de outra pessoa, uma ferramenta de trabalho de importância central e uma mercadoria que pode ser vendida. Conhecendo uma senha, os bandidos podem não apenas se apossar de suas contas, dados, dinheiro e até identidade; eles também podem usar você como um elo fraco para atacar online seus amigos, parentes ou até mesmo a sua empresa. Para evitar isso, você precisa, em primeiro lugar, entender como cibercriminosos podem obter sua senha.
Como sua senha pode cair nas mãos de cibercriminosos?
Há um equívoco generalizado de que, para fornecer sua senha a cibercriminosos, você precisa cometer um erro – baixar e executar um arquivo não verificado da internet, abrir um documento de um remetente desconhecido ou inserir suas credenciais em algum site suspeito. É verdade que todos esses padrões de comportamento podem facilitar muito a vida dos invasores, mas também existem outros cenários. Aqui estão os métodos cibercriminosos mais comuns para obter acesso às suas contas.
Phishing
Este é, de fato, um dos métodos de coleta de credenciais que depende principalmente de erro humano. Centenas de sites de phishing, auxiliados por milhares de correspondências que levam a eles, surgem todos os dias. No entanto, se por algum motivo você pensa que nunca cairá no truque do phishing, você está errado. O método é quase tão antigo quanto a própria internet, então os cibercriminosos tiveram muito tempo para desenvolver vários truques de engenharia social e táticas de disfarce. Às vezes, nem mesmo os especialistas conseguem distinguir um e-mail de phishing de um real sem um olhar atento.
Malware
Outra forma comum de roubar suas credenciais é com malware. De acordo com nossas estatísticas, uma proporção significativa de malware é composta por trojans ladrões, cujo principal objetivo é esperar até que um usuário faça login em algum site ou serviço, copiar suas senhas e enviá-las aos criminosos. Se você não estiver usando soluções de proteção, os trojans podem se esconder em seu computador sem serem detectados por anos – você não saberá que algo está errado, porque eles não causam nenhum dano visível, apenas silenciosamente fazem seu trabalho.
E os trojans ladrões não são o único malware que caça senhas. Às vezes, os cibercriminosos injetam web skimmers – ataques de carteirinha – em sites e roubam tudo o que os usuários inserem, incluindo credenciais, nomes, detalhes do cartão e assim por diante.
Vazamentos de terceiros
No entanto, você não precisa cometer nem mesmo cometer um erro. Basta ser usuário de algum serviço de internet inseguro ou cliente de uma empresa que vazou um banco de dados com as informações de seus clientes. Obviamente, as empresas que levam cibersegurança a sério não armazenam as senhas, ou pelo menos o fazem de forma criptografada. Mas você nunca pode ter certeza de que foram tomadas medidas suficientes. Por exemplo, o vazamento deste ano do SuperVPN continha detalhes pessoais e credenciais de login de 21 milhões de usuários.
Além disso, algumas empresas não podem evitar o armazenamento de suas senhas. Sim, estou falando sobre o infame hack do utilitário de gerenciamento de senha do LastPass. De acordo com as informações mais recentes, um agente de ameaça desconhecido acessou o armazenamento em nuvem com alguns dados de cliente, incluindo backups de cofres. Sim, esses cofres foram devidamente criptografados e o LastPass nunca armazenou ou sequer conheceu as chaves de descriptografia. Mas e se os clientes do LastPass bloqueassem seus cofres com uma senha que já havia vazado de alguma outra fonte? Se eles reutilizassem uma senha insegura, agora os cibercriminosos poderiam acessar todas as suas contas de uma só vez.
Agentes de acesso inicial
E aqui chegamos a outra fonte de senhas roubadas – o mercado paralelo. Os cibercriminosos atuais preferem se especializar em determinados campos. Eles podem roubar suas senhas, mas não necessariamente usá-las: é mais lucrativo vendê-las no atacado. A compra desses bancos de dados de senhas é especialmente atraente para os criminosos, porque oferece a eles o pacote completo: os usuários tendem a usar as mesmas senhas em várias plataformas e contas, muitas vezes vinculando-as ao mesmo e-mail. Assim, tendo a senha de uma plataforma, os cibercriminosos podem obter acesso a muitas outras contas da vítima – desde suas contas de jogos até seu e-mail pessoal ou até mesmo contas privadas em sites adultos.
Bancos de dados corporativos vazados que podem ou não conter credenciais também são vendidos no mesmo mercado paralelo. O preço desses bancos de dados varia dependendo da quantidade de dados e do setor da organização: alguns bancos de dados de senhas podem ser vendidos por centenas de dólares.
Existem certos serviços na darknet que agregam senhas e bancos de dados vazados e, em seguida, permitem acesso pago baseado em assinatura ou acesso único a suas coleções. Em outubro de 2022, o infame grupo de ransomware LockBit invadiu uma empresa de assistência médica e roubou seus bancos de dados de usuários com informações médicas. Eles não apenas venderam assinaturas para essas informações na darknet – presumivelmente, eles compraram o acesso inicial no mesmo mercado ilegal.
Ataques de força bruta
Em alguns casos, os cibercriminosos nem precisam de um banco de dados roubado para descobrir sua senha e invadir sua conta. Eles podem usar ataques de força bruta, ou seja, tentar milhares de variantes típicas de senha até que uma delas funcione. Sim, não parece muito confiável. Mas eles não precisam testar todas as combinações possíveis – existem certas ferramentas (geradores de lista de palavras) que podem criar uma lista de possíveis senhas comuns (os chamados dicionários de força bruta) com base nas informações pessoais da vítima.
Esses programas parecem um miniquestionário sobre a vítima. Eles pedem nome, sobrenome, data de nascimento, informações pessoais sobre parceiros, filhos e até animais de estimação. Os invasores podem até adicionar palavras-chave que conhecem sobre o alvo que podem ser lançadas na mistura. Usando essa mistura de palavras, nomes, datas e outros dados relacionados, os geradores de listas de palavras criam milhares de variantes de senha, que os invasores tentam posteriormente durante o login.
Para usar esse método, os cibercriminosos precisam realizar pesquisas primeiro – e é aí que esses bancos de dados vazados podem ser úteis. Eles podem conter informações como datas de nascimento, endereços ou respostas a “perguntas secretas”. Outra fonte dos dados é o compartilhamento excessivo nas redes sociais. Algo que parece absolutamente insignificante, como uma foto de 6 de dezembro com a legenda “hoje é aniversário do meu amado cachorrinho”.
Possíveis consequências de uma senha vazada ou descoberta por força bruta
Existem algumas consequências óbvias: os cibercriminosos podem assumir o controle de sua conta e exigir algum resgate, usá-la para enganar seus contatos e amigos online ou, se conseguirem obter a senha do site ou aplicativo de seu banco, esvaziar sua conta. No entanto, às vezes suas intenções não são tão óbvias.
Por exemplo, com o aumento da quantidade de jogos que introduzem suas moedas de jogo e microtransações em suas plataformas, mais usuários têm seus métodos de pagamento vinculados às suas contas. Isso torna os jogadores um alvo interessante para os hackers. Ao obter acesso à conta do jogo, eles podem roubar objetos de valor do jogo, como skins, itens raros ou moeda interna do jogo, ou fazer uso indevido dos dados do cartão de crédito da vítima.
Os bancos de dados vazados e as informações obtidos ao pesquisar suas contas podem ser usados não apenas para ganhos financeiros, mas também para danos à reputação e outros tipos de danos sociais, incluindo doxing. Se você é uma celebridade, pode ser chantageado e enfrentar uma escolha: divulgação de informações pessoais (que podem afetar sua reputação) ou perda de dinheiro.
Mesmo que você não seja uma celebridade, pode se tornar vítima de doxing – o ato de revelar informações de identificação sobre alguém online – como nome real, endereço residencial, local de trabalho, telefone, informações financeiras e outras informações pessoais. Os ataques de doxing podem variar desde os relativamente inofensivos, como inscrições em inúmeras listas de e-mail ou pedidos falsos de entrega de pizza em seu nome, até outros muito mais perigosos, como várias formas de cyberbullying, roubo de identidade ou até mesmo perseguição pessoal.
Por fim, se você estiver usando a mesma senha para contas pessoais e de trabalho, os cibercriminosos podem controlar seu e-mail corporativo e usá-lo para esquemas de comprometimento de e-mail comercial ou até mesmo ataques direcionados.
Como proteger suas contas contra acessos indesejados
Primeiro de tudo – sempre tenha em mente a higiene da senha:
• não reutilize uma mesma senha para várias contas;
• crie senhas fortes e extensas;
• armazene-as com segurança;
• Ao ouvir notícias sobre uma violação de dados em serviço ou site que você possua conta, altere esta senha imediatamente.