Como as senhas são roubadas (e 10 etapas simples para mantê-las seguras)
Publicados: 2022-03-15
“RockYou2021: a maior compilação de senhas de todos os tempos vazou online com 8,4 bilhões de entradas”
“A polícia encontrou 225 milhões de senhas roubadas escondidas em um servidor de nuvem hackeado”
Essas manchetes infelizmente não são novidade. Os perigos de ter sua senha vazada/roubada agora são bem conhecidos. Os assistentes técnicos vêm desenvolvendo e testando ferramentas que eventualmente substituirão o uso de senhas, mas a transição não deve ser totalmente implementada tão cedo.
A maioria dos sites e aplicativos não permite autenticação por meio de dados biométricos, o que significa que nós usuários ainda estamos limitados a usar a humilde senha. A realidade é que muitas pessoas ainda não usam gerenciadores de senhas e reutilizam a mesma senha em vários sites e aplicativos, incluindo os cruciais, como o banco online.
Isso significa que tomar precauções para proteger suas senhas (novamente, a menos que você use um gerenciador de senhas) é nada menos que imperativo se você quiser proteger seus ativos.
Antes de irmos lá, porém, talvez seja melhor dar uma olhada em como os vazamentos/roubos de dados acontecem, pois entender o processo pode desempenhar um papel importante na prevenção.
Como as senhas são hackeadas e roubadas
Eles podem alegar representar empresas com as quais seus alvos fizeram negócios. Eles geralmente se passam por funcionários do governo, incluindo agentes da lei, agentes fiscais e funcionários da Administração da Previdência Social. Às vezes, eles afirmam estar ligando em nome dos familiares ou amigos de seus alvos.
Esses criminosos tentarão transmitir um senso de urgência, talvez até ameaçando seus alvos com prisão ou perda de acesso a benefícios, se não agirem imediatamente fornecendo as informações solicitadas.
Essas credenciais são carregadas em aplicativos que as testam rapidamente em um grande número de sites na esperança de encontrar correspondências e obter acesso. Existem centenas de milhões desses tipos de ataques registrados anualmente.
Aplicativos e funções que roubam credenciais podem ser keyloggers, pacotes de malware que gravam não apenas suas senhas, mas todas as teclas digitadas e depois as transmitem para o agente mal-intencionado.
O malware de roubo de credenciais também pode ser incorporado em sites projetados para se parecerem com os de entidades respeitáveis. Por exemplo, um invasor pode enviar uma mensagem de phishing alegando que uma atividade suspeita foi observada na conta bancária do alvo e que o alvo deve fazer login em sua conta para alterar a senha imediatamente.
A vítima clica em um link na mensagem e é levada a um site de banco aparentemente legítimo, onde é instruída a inserir credenciais de login para iniciar o processo de redefinição de senha. Isso fornece ao invasor as credenciais da conta bancária da vítima.
Alguns sites maliciosos parecidos são criados na esperança de que indivíduos aleatórios inadvertidamente pousem neles e sejam roubados de seus nomes de usuário e senhas.
A versão de alta tecnologia disso é um ataque man-in-the-middle. As redes Wi-Fi públicas são frequentemente frequentadas por invasores que usam ferramentas prontamente disponíveis para monitorar o tráfego de rede e roubar dados confidenciais, incluindo credenciais de login de contas, daqueles que usam as redes.
Às vezes, os cibercriminosos criam suas próprias redes Wi-Fi públicas projetadas para parecerem empresas legítimas, com o único objetivo de roubar dados do usuário. As redes Wi-Fi públicas são inerentemente inseguras.
Na verdade, o número de senhas em uso continua aumentando, assim como o número de invasores que estão tentando ativamente roubá-las. A proteção por senha deve ser levada a sério, então vá em frente e implemente o máximo possível dessas dicas.
“A polícia encontrou 225 milhões de senhas roubadas escondidas em um servidor de nuvem hackeado”
Essas manchetes infelizmente não são novidade. Os perigos de ter sua senha vazada/roubada agora são bem conhecidos. Os assistentes técnicos vêm desenvolvendo e testando ferramentas que eventualmente substituirão o uso de senhas, mas a transição não deve ser totalmente implementada tão cedo.
A maioria dos sites e aplicativos não permite autenticação por meio de dados biométricos, o que significa que nós usuários ainda estamos limitados a usar a humilde senha. A realidade é que muitas pessoas ainda não usam gerenciadores de senhas e reutilizam a mesma senha em vários sites e aplicativos, incluindo os cruciais, como o banco online.
Isso significa que tomar precauções para proteger suas senhas (novamente, a menos que você use um gerenciador de senhas) é nada menos que imperativo se você quiser proteger seus ativos.
Antes de irmos lá, porém, talvez seja melhor dar uma olhada em como os vazamentos/roubos de dados acontecem, pois entender o processo pode desempenhar um papel importante na prevenção.
Como as senhas são hackeadas e roubadas 
Adivinhando - o método mais simples
Em 2020, três das senhas mais comuns em uso foram "123456", "123456789" e "password". Quando pesquisado usando as ferramentas disponíveis no HaveIBeenPwned (definitivamente vale a pena uma visita), descobriu-se que essas senhas apareciam dezenas de milhões de vezes durante verificações de dados violados. Aqui estão os resultados dos relatórios em janeiro de 2022:- 123456 - 37.359.195 aparições
- 123456789 - 16.629.796 aparições
- senha - 9.545.824 aparições
Phishing e outras variantes de ataque de engenharia social
Os cibercriminosos geralmente entram em contato diretamente com seus alvos por telefone (vishing), e-mail (phishing), mensagens de texto (smishing) ou por meio de contas de mídia social. Nesses ataques, os golpistas geralmente se passam por outras pessoas para convencer suas vítimas a fornecer informações confidenciais, como credenciais de login.Eles podem alegar representar empresas com as quais seus alvos fizeram negócios. Eles geralmente se passam por funcionários do governo, incluindo agentes da lei, agentes fiscais e funcionários da Administração da Previdência Social. Às vezes, eles afirmam estar ligando em nome dos familiares ou amigos de seus alvos.
Esses criminosos tentarão transmitir um senso de urgência, talvez até ameaçando seus alvos com prisão ou perda de acesso a benefícios, se não agirem imediatamente fornecendo as informações solicitadas.
Força bruta e ataques de enchimento
Como mencionado, os hackers têm ferramentas disponíveis que podem gerar rapidamente senhas aleatórias e testá-las para determinar se fornecerão acesso a contas direcionadas. Stuffing, que é uma variação de força bruta, envolve o uso de credenciais roubadas anteriormente expostas em violações e disponíveis para criminosos por meio da Dark Web.Essas credenciais são carregadas em aplicativos que as testam rapidamente em um grande número de sites na esperança de encontrar correspondências e obter acesso. Existem centenas de milhões desses tipos de ataques registrados anualmente.
Malware para roubo de credenciais
Seus dispositivos podem ser infectados com malware de roubo de credenciais quando você clica em links maliciosos em e-mails de phishing, abre anexos de e-mail infectados, visita acidentalmente o site de um invasor ou instala um aplicativo que não veio de uma fonte confiável.Aplicativos e funções que roubam credenciais podem ser keyloggers, pacotes de malware que gravam não apenas suas senhas, mas todas as teclas digitadas e depois as transmitem para o agente mal-intencionado.
O malware de roubo de credenciais também pode ser incorporado em sites projetados para se parecerem com os de entidades respeitáveis. Por exemplo, um invasor pode enviar uma mensagem de phishing alegando que uma atividade suspeita foi observada na conta bancária do alvo e que o alvo deve fazer login em sua conta para alterar a senha imediatamente.
A vítima clica em um link na mensagem e é levada a um site de banco aparentemente legítimo, onde é instruída a inserir credenciais de login para iniciar o processo de redefinição de senha. Isso fornece ao invasor as credenciais da conta bancária da vítima.
Alguns sites maliciosos parecidos são criados na esperança de que indivíduos aleatórios inadvertidamente pousem neles e sejam roubados de seus nomes de usuário e senhas.
Ombro surf e ataques man-in-the-middle
O termo "shoulder surfing" descreve a tática de olhar por cima do ombro de alguém para observar o que está na tela do computador ou dispositivo e tentar descobrir senhas ou outras informações confidenciais.A versão de alta tecnologia disso é um ataque man-in-the-middle. As redes Wi-Fi públicas são frequentemente frequentadas por invasores que usam ferramentas prontamente disponíveis para monitorar o tráfego de rede e roubar dados confidenciais, incluindo credenciais de login de contas, daqueles que usam as redes.
Às vezes, os cibercriminosos criam suas próprias redes Wi-Fi públicas projetadas para parecerem empresas legítimas, com o único objetivo de roubar dados do usuário. As redes Wi-Fi públicas são inerentemente inseguras.
Como proteger minhas senhas de hackers em 10 etapas simples
A seguir estão as estratégias que você pode implementar facilmente para proteger suas senhas, suas contas e suas informações confidenciais:- Uma regra básica: obtenha um gerenciador de senhas/cofre. São aplicativos especialmente desenvolvidos para manter sua senha segura. Com eles, tudo o que você precisa fazer é lembrar de uma senha mestra (ainda seguindo as regras abaixo!)
- Não inclua palavras reais. Se possível, invente suas próprias palavras que dificilmente seriam “adivindadas” (por exemplo, “Radamabla”)
- Não use aniversários e outros dados facilmente identificáveis sobre você (por exemplo, sobrenome)
- Não use senhas fracas (simplistas). Suas senhas devem ser longas, complexas e incluir letras maiúsculas e minúsculas, números e caracteres especiais.
- Use uma senha diferente para cada uma de suas contas. Se uma conta for comprometida, outras contas não estarão em risco devido ao uso da mesma credencial (especialmente não repita senhas em contas de e-mail e contas financeiras)
- Use um 2FA (autenticação de dois fatores) sempre que estiver disponível. Isso adiciona outro componente ao processo de login. Na maioria dos casos, é um PIN enviado ao seu dispositivo por mensagem de texto ou e-mail. Se um invasor conseguir roubar suas credenciais de login, ele ainda não poderá concluir o login sem esse fator adicional.
- A menos que você tenha certeza de que pode confiar na fonte de um e-mail, texto ou mensagem de mídia social e, especialmente, se houver algo incomum ou suspeito na mensagem, evite abrir anexos ou clicar em links incluídos.
- Ao visitar sites, verifique se eles estão usando HTTPS. Um cadeado trancado deve ser exibido à esquerda do URL do site na parte superior do navegador, indicando o uso desse protocolo de segurança. Alguns criminosos já começaram a usar HTTPS em seus sites, portanto, esse método não é 100% eficaz na proteção de suas informações contra golpistas, mas seguir essa recomendação ajudará você a evitar sites maliciosos.
- Certifique-se de que os sistemas operacionais em seus dispositivos estejam atualizados e configurados para baixar e instalar atualizações automaticamente. Além disso, verifique se todos os seus dispositivos estão executando aplicativos antimalware/antivírus.
- Evite usar Wi-Fi público, a menos que seu dispositivo também esteja equipado com um aplicativo de rede virtual privada (VPN) e esse aplicativo esteja em uso. As VPNs criptografam os dados que chegam e saem do seu dispositivo. Mesmo que sejam interceptados por um mau ator, os dados não podem ser decodificados e lidos. Se você não tiver uma VPN e precisar usar Wi-Fi público, evite fazer login em qualquer conta ou enviar informações confidenciais por meio de serviços de mensagens.
Pensamentos finais
Por mais de dez anos, publicações de tecnologia previram o fim da senha, mas ela ainda está aqui.Na verdade, o número de senhas em uso continua aumentando, assim como o número de invasores que estão tentando ativamente roubá-las. A proteção por senha deve ser levada a sério, então vá em frente e implemente o máximo possível dessas dicas.