Violações de senhas estão impulsionando o mercado de credential stuffing

O mercado de software e serviços de credential stuffing está prosperando graças, em grande parte, a uma epidemia de violações de senhas.

NOTA DO EDITOR: credential stuffing, ou “credenciais-stuffing”, é a injeção automatizada de pares de usuários e senhas quebrados para obter acesso fraudulento a contas de usuários. Este é um subconjunto da categoria de ataque de força bruta: um grande número de credenciais vazadas são automaticamente inseridas em sites até que sejam potencialmente correspondidas a uma conta existente e, assim, o atacante pode sequestrar para seus próprios fins.

A Digital Shadows afirmou hoje, em um novo relatório, que os vazamentos de credenciais, como o Anti Public Combo List do mês passado e outros, impulsionaram o mercado de credential stuffing e fizeram dele uma parte lucrativa da economia do mercado negro.

Credential stuffing é o processo automatizado de verificação de que os pares violados de usuários e senhas funcionam não apenas para os serviços de origem, mas também em outros serviços. As ferramentas populares de credential stuffing incluem o Sentry MBA, Vertex e Account Hitman, de acordo com a Digital Shadows em um relatório divulgado nesta semana.

“Os cibercriminosos estão focando cada vez mais em ferramentas de credential stuffing para automatizar as tentativas de aquisição de contas”, de acordo com o relatório. O Sentry MBA, de acordo com a pesquisa, tem uma ampla presença online e é frequentemente discutido em fóruns criminais e nos mercados. A ferramenta explora o uso de senhas fracas e reutilização de senhas, já que utiliza combinações de credenciais vazadas anteriormente como parte de seus ataques.

Pesquisadores da Digital Shadows dizem que a reutilização de senhas está alimentando o problema. Com uma brecha, uma senha poderia quebrar dezenas de contas pertencentes à mesma pessoa. Quase 97% das 1.000 maiores empresas do mundo tiveram credenciais corporativas expostas, disseram os pesquisadores.

“O download do software em si é gratuito, mas existem alguns custos associados… uma tentativa de credential stuffing pode custar de US$ 10 a US$ 2.330”, disseram os pesquisadores. Esses custos incluem, em primeiro lugar, as credenciais. “Um dos pacotes mais completos (as credenciais) custam US$ 2.999, alegando fornecer 3.825.302.948 credenciais de 1.074 bancos de dados”, disse a Digital Shadows.

Em seguida, para que o software funcione, é necessário que os usuários tenham um arquivo de configuração. Os arquivos de configuração mapeiam os aspectos específicos de um site de destino para que o software saiba para onde tentar os logins. Softwares de credential stuffing diferentes também oferecem diferentes recursos. Por exemplo, o SentryMBA afirma ter a capacidade de ignorar proteções CAPTCHA, enquanto o Vertex e o Account Hitman não.

“Como você pode ver, a barreira de entrada pode ser bastante baixa e com esses elementos no lugar dos atacantes, podem ser apenas poucos cliques de distância para lançar ataques de controle de contas”, disse Shadows Digital.

Esforços de mitigação

Há uma série de esforços de mitigação contra ataques futuros que os usuários e empresas podem adotar. Os pesquisadores recomendam aumentar a conscientização do usuário, monitorar credenciais vazadas em serviços como o site Have I Been Pwned. Pode-se também implantar um firewall de aplicativos da Web incorporado que possa identificar e bloquear ataques de credential stuffing.

Curiosamente, os pesquisadores afirmam que a autenticação multifatorial (MFA) não é uma bala de prata na prevenção de ataques. “Existem vários exemplos de atores de ameaças que ignoram mecanismos que dependem de mensagens SMS para fornecer tokens temporários“, disseram os pesquisadores.

Citando exemplos, os pesquisadores disseram que os trojans bancários Marcher, Retefe e Dridex tem sido frequentemente conhecidos por usarem métodos de bypass SMS MFA.

“Muitas organizações estão sofrendo violações devido ao enorme número de credenciais expostas, não apenas incidentes de alto nível, como aqueles sofridos pelo Myspace, LinkedIn e Dropbox, mas também por dezenas de milhares de brechas menores“, disse Rick Holland, VP Strategy da Digital Shadows em uma declaração. “Mas é fundamental que as empresas se armem com a inteligência e compreensão necessária para gerenciar seu risco digital e evitar que esta exposição de credenciais se transforme em um problema ainda mais grave”.

---

Publicado originalmente no ThreatPost em 24 de maio de 2017.

Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.

Autor: Tom Spring
Tradução por Tiago Souza

Imagem destacada deste post: Star Line | Freepik