Roubo de credenciais: como se proteger dos grandes vazamentos e dos ataques individualizados para fraudes de acesso
Junto à exposição em larga escala de logins e senhas, delinquentes usam métodos sutis para obter as informações do usuário e driblar os fatores de autenticação.
Em incidentes massivos, as listas com e-mails e senhas vazadas chegam a números correspondentes à população de um continente. Em contrapartida, como os dados são amplamente expostos, os serviços de Inteligência de Ameaças conseguem mitigar razoavelmente o risco. Em sites como o Google e o Netflix, por exemplo, já é comum haver uma verificação e um aviso se for utilizada uma senha notoriamente vazada. Outro flanco que persiste é o uso de 123456, variações como !@#$%¨, ou no pior dos casos admin. É banal e ainda funciona, embora a mitigação desse risco seja relativamente simples. No entanto, uma fraude bem sucedida com credenciais roubadas é um caminho eficaz para o delinquente transpassar os mecanismos de defesa, o que leva à criação de diversas modalidades de ataque.
Aplicações clonadas, armadilhas singelas e outros golpes na nuvem
Até mesmo entre quem frequenta eventos sobre cibersegurança, é comum alguém admitir que reutiliza a senha em vários logins. Mesmo que não reconheçam com tanta sinceridade, muitos também “clicam em qualquer coisa”. “O otimismo é mais forte do que os fatos”, resume a consultora Jessica Barker. Ela constata que phishing por e-mail ainda é maior vetor de ataques, o que não se justifica pela simples falta de informação.
Junto aos sites bancários e de e-commerce, as páginas relacionadas a aplicações de trabalho – CRM, Office ou ERPs populares – estão entre as mais clonadas. Com um simples link incluído em um phishing, o delinquente ganha as credenciais para aplicações críticas e ainda tem a oportunidade de fazer o usuário fornecer dados complementares.
Uma forma mais sutil de explorar a preguiça mnemônica das pessoas é disponibilizar serviços interessantes, em que o software não tem nada que o caracterize como malicioso ou de risco. É um meio fácil de capturar senhas recorrentes e outros dados úteis ao atacante.
Além das senhas ridiculamente frágeis, outro clichê é o uso de referências pessoais ou afetivas. A exposição em redes sociais, nesse contexto, se torna um catálogo de alternativas para tentativas de violação.
Uma boa diretriz é empilhar fatores de autenticação para usuários privilegiados ou transações críticas. Contudo, não se deve descartar a possibilidade de ataques direcionados incluírem clonagem da identidade do dispositivo (SIM swap, por exemplo) ou fraudes de biometria.
Abordagens de mitigação
Soluções bem implementadas de E-mail Security e Web Security já minimizam grande parte dos riscos relacionadas a phishing e roubo de credenciais. Conforme o mapeamento dos riscos, outras medidas são recomendáveis.
A análise comportamental, no conceito de Human Centric, é um mecanismo eficaz. A história da autenticação não termina quando se digita a senha ou se identifica o dispositivo. Mesmo que o atacante emule uma identidade, saber o que o usuário legítimo faz e como faz é a chave para interceptar uma fraude.
A visibilidade e a classificação de risco das aplicações acessadas em nuvem devem considerar variáveis de risco que vão além das funcionalidades do software em si.
Outra abordagem interessante é cuidar da proteção do dado em si – controlar o que se pode fazer com informações críticas conforme critérios como origem do acesso, escopo e contexto (para quê tal usuário precisa de determinado dado?) e estabelecer uma Proteção Adaptável ao Risco.