Ataques de força bruta referem-se a uma das técnicas usadas por invasores para obter as credenciais de usuários legítimos para realizar ações fraudulentas. O ataque de força bruta típico pode variar desde o teste de muitas senhas em um nome de usuário, até o uso de outras técnicas, como "credential stuffing" ou "password spraying". Em todos os casos o objetivo é o mesmo: obter credenciais de acesso válidas para serviços legítimos. Nesta ocasião, explicamos em que consiste a técnica conhecida como password spraying.
O que é password spraying?
Ao contrário do ataque típico em que se testa um grande número de senhas na mesma conta, em um ataque de password spraying o invasor obtém contas de diferentes usuário e tenta acessar a um ou vários serviços com uma pequena quantidade de senhas.
Como funciona um ataque de password spraying?
Usando ferramentas de código aberto ou sites legítimos, um invasor tenta obter vários nomes de contas de usuário, por exemplo, contas de e-mail. Por outro lado, gera uma pequena lista de senhas (em alguns casos usam apenas uma) e vai testando cada senha em todas as contas obtidas. Em geral, essas senhas são as que se vêem entre as mais utilizadas. Esta lista pode ser criada manualmente ou usa-se uma já existente na Internet. Depois de ter a lista de contas de usuário e senhas, o funcionamento é o seguinte:
- Pegar uma senha
- Pegar a lista inteira de contas de usuário
- Testar se a senha é válida em alguma conta
- Repitir o processo
Hoje em dia, muitos sistemas implementam uma medida de segurança, conhecida como bloqueio de conta, que significa que após um determinado número de tentativas de login sem sucesso (pode variar entre três ou mais tentativas) a conta da pessoa é bloqueada. Se esta medida de segurança for ativada em um aplicativo da web, um sistema operacional, etc., o típico ataque de força bruta pode ser de pouca utilidade, pois as chances de bloquear a conta do usuário são altas. Porém, usando a password spraying é possível evitar isso, pois tendo um grande número de usuários, o tempo em que as tentativas são feitas na mesma conta pode variar de tal forma que nenhuma conta é bloqueada e você pode continuar tentando mais senhas
Conforme mencionado anteriormente, o ataque de password spraying tem uma vantagem sobre o tradicional ataque de força bruta. Por um lado, se for testado com uma pequena quantidade de senhas, o bloqueio de conta pode ser evitado. Ou, com a ajuda de ferramentas automatizadas, pode-se colocar um cronômetro para que permaneça inativo por um certo tempo e depois continue o ataque para evitar o bloqueio da conta, conforme mencionado acima.
Esse tipo de ataque pode ser diferenciado de outros como “credential stuffing”, no qual usa combinações de usuários/senhas que um invasor possui e que foram obtidas principalmente por meio de violações de segurança. No caso de um invasor possuir esse tipo de combinação, ele pode pesquisar outras contas associadas a esse usuário específico, gerar uma lista com essas contas e realizar um ataque de password spraying para detectar se o usuário reutiliza ou não aquela senha em outros sites.
Muitas vezes, pacotes com credenciais de acesso para um serviço são oferecidos no mercado clandestino que não foram obtidos devido a uma falha de segurança no mesmo, mas que os cibercriminosos testaram combinações que obtiveram de outras violações e montaram listas de combinações que funcionaram em outro serviço porque os usuários reutilizaram a mesma combinação de nome de usuário/senha. Foi o que aconteceu este ano com o Zoom e a venda de credenciais de acesso para 500 mil contas.
Práticas ruins, conscientização e segurança
Com tudo o que você leu até agora, se uma política de senha incorreta for aplicada, seja em um sistema corporativo ou escolhendo uma senha fraca para registro em um site pessoal, aumenta a chance de sucesso quando um invasor usa esta técnica, com a qual é importante ter uma senha forte para reduzir a probabilidade de nossa conta ser comprometida e, fundamentalmente, não usar a mesma senha em mais de um serviço.
Por outro lado, existem ferramentas gratuitas em sites legítimos da Internet que automatizam este tipo de ataque, como o hydra ou o CrackMapExec, entre outros. Eles foram criados para fins de pesquisa ou para ajudar a comunidade no momento de simulação de ataques e a realizar testes de penetração. Essas ferramentas estão vinculadas por um contrato legal entre a empresa que solicita um serviço de teste de segurança e aquela que executa esses testes.
Mas isso não significa que as mesmas ferramentas que foram criadas para ajudar a comunidade de especialistas em segurança informática não possam ser usadas por outros atores para fins maliciosos. Foi visto tanto por grupos APT quanto em outros ataques de distribuição de malware que os cibercriminosos usam essa técnica para obter acesso a um computador ou mover-se lateralmente dentro de uma rede corporativa para se espalhar a fim de prejudicar um indivíduo ou uma empresa.
Portanto, é importante ter conhecimento deste tipo de ataques e implementar medidas de prevenção como as seguintes:
- Senhas fortes com no mínimo 10 caracteres usando:
- Caracteres especiais
- Mínimo 2 caracteres maiúsculos
- Substitua letras por números
- Implemente a autenticação de fator duplo sempre que possível para acessar sites online, sejam comerciais ou pessoais.
- Realize uma mudança periódica de senha tanto no nível pessoal quanto no profissional.
- Evite usar a mesma senha em sistemas diferentes.
- Evite usar palavras que tenham algum tipo de relacionamento pessoal, por exemplo:
- Nome de um animal de estimação, membro da família, etc.
- Use datas como aniversários, casamentos, etc.
- Evite usar senhas triviais, por exemplo:
- Senha
- senha
- Passw0rd1
- 123456
- QWERTY