O conceito de senha já existe há séculos e essas “chaves virtuais” foram introduzidas na computação muito antes do que a maioria de nós pode lembrar. Uma das razões pelas quais a popularidade das senhas é tão duradoura tem a ver com o fato de que as pessoas instintivamente sabem como elas funcionam. Mas há também um problema: as senhas são o calcanhar de Aquiles na vida digital de muitas pessoas, especialmente porque vivemos em um momento no qual as pessoas têm em média 100 credenciais de login para lembrar, e este número só aumentou nos últimos anos. Não é nada surpreendente que os usuários optem por cortar caminho e, consequentemente, a segurança digital sofre com isso.
Uma vez que a senha é normalmente o único ponto existente entre um cibercriminoso e dados pessoais e financeiros, os criminosos estão mais do que ansiosos para roubar ou decifrar esse dado de logins. É por esta razão que devemos dedicar pelo menos o mesmo esforço à proteção de nossas contas on-line.
O que um cibercriminoso pode fazer com minha senha?
As senhas são as chaves virtuais para seu mundo digital, fornecendo acesso a serviços bancários on-line, e-mail e serviços de redes sociais, contas como Netflix ou Uber, assim como todos os dados hospedados no armazenamento em nuvem. Com as suas senhas em mãos, um cibercriminoso pode:
- Roubar suas informações pessoais e vendê-las a outros criminosos em fóruns na dark web;
- Vender o acesso à conta. Os sites criminosos na dark web comercializam esses logins de forma bastante rápida. Compradores podem usar o acesso para obter todo tipo de informação, desde solicitações de táxi e streamings até viagens com desconto através de contas comprometidas que contam com milhas aéreas.
- Usar as senhas para desbloquear outras contas nas quais se usa a mesma senha.
Como os cibercriminosos roubam senhas?
Conheça as técnicas mais usadas por cibercriminosos para roubar senhas e esteja preparado para mitigar os riscos ao se tornar uma vítima:
Phishing e engenharia social
Os seres humanos são criaturas falíveis e sugestionáveis. Além disso, somos propensos a tomar más decisões quando estamos com pressa. Os cibercriminosos exploram essas fraquezas através de engenharia social, um truque psicológico projetado para nos convencer a fazer algo que não devemos. O phishing é a forma mais conhecida de engenharia social. Através desse tipo de ataque, os cibercriminosos se fazem passar por instituições legítimas, como amigos, familiares, órgãos públicos e empresas bem conhecidas, e assim por diante. Neste caso, o e-mail ou texto que você recebe pode parecer autêntico, mas incluirá um link ou anexo malicioso que, ao ser clicado, fará o download de um malware ou o levará a uma página que lhe pedirá para inserir seus dados pessoais.
Felizmente, há muitas maneiras de detectar os sinais de alerta de um ataque de phishing. Os golpistas estão até mesmo usando ligações telefônicas para obter logins e outras informações pessoais de suas vítimas, muitas vezes fingindo ser engenheiros de suporte técnico. Isto é conhecido como vishing (phishing baseado na voz).
Malware
Outra forma popular de obter senhas é através de malwares. Os e-mails de phishing são o principal vetor para esse tipo de ataque, mas um usuário também pode ser vítima de um malware ao clicar em um anúncio malicioso (malvertising) ou mesmo visitando um site previamente comprometido (drive-by-download). Como o pesquisador da ESET Lukas Stefanko demonstrou muitas vezes, o malware pode até se esconder em um aplicativo de celular aparentemente legítimo, muitas vezes encontrado em lojas de aplicativos de terceiros.
Existem muitas variedades de malwares que roubam informações, mas alguns dos mais comuns são projetados para gravar o pressionamento de teclas ou tirar screenshots de dispositivos e enviá-los a atacantes. Entre eles, podemos citar os keyloggers.
Ataques de força bruta
O número médio de senhas que uma pessoa tem que gerenciar aumentou em cerca de 25% em 2020. Como resultado, a maioria das pessoas está inclinada a usar senhas que são fáceis de lembrar (e adivinhar), e cometem o erro de usar as mesmas senhas para acessar vários sites e serviços. Entretanto, o que muitas vezes é ignorado é que senhas fracas podem abrir a porta para as técnicas de força bruta com o intuito de descobrir senhas. Um dos tipos mais comuns de força bruta é o credential stuffing.
Neste caso, os atacantes utilizam grandes volumes de combinações de nome de usuário/senha anteriormente comprometidas em um software automatizado. A ferramenta então testa as credenciais em um grande número de sites na esperança de encontrar uma correspondência. Desta forma, os cibercriminosos podem desbloquear várias de suas contas com uma única senha.
No ano passado, houve aproximadamente 193 bilhões de tentativas desse tipo em todo o mundo, de acordo com uma estimativa. Recentemente, o governo canadense tem sido vítima de grandes ataques desse tipo.
1/5 The GC has taken action in response to credential stuffing attacks mounted on the GCKey service and the CRA. pic.twitter.com/KZhvFKFQot
— Digital Government (@DigitalCDN) August 15, 2020
Outra técnica de força bruta é o password spraying. Neste caso, os criminosos usam software automatizado para testar uma lista de senhas comumente usadas contra sua conta.
Veja mais: Maioria dos ataques de força bruta tenta violar senhas curtas
Por dedução
Embora os cibercriminosos contem com ferramentas automatizadas para realizar ataques de força bruta e descobrir senhas, às vezes eles nem precisam delas: mesmo suposições simples, ao contrário da abordagem mais sistemática utilizada em ataques de força bruta, podem fazer o trabalho. “123456” foi a senha mais comum em 2021, seguida por “123456789”.
E se você é como a maioria das pessoas e reutiliza a mesma senha ou usa uma derivada dela para acessar várias contas, é possível que esteja tornando as coisas ainda mais fáceis para os atacantes, submetendo-se ao risco de roubo de identidade e golpes.
Espiar por cima dos ombros (Shoulder surfing)
Todas as opções para comprometer senhas que temos destacado até agora têm sido virtuais. No entanto, vale a pena lembrar que algumas técnicas de escuta testadas e comprovadas também representam um risco. Esta não é a única razão pela qual os olhares indiscretos continuam sendo um risco, e o especialista da ESET Jake Moore recentemente conduziu uma experiência e demonstrou como é fácil comprometer uma conta do Snapchat usando essa técnica simples de espiar por cima do ombro de alguém.
Uma versão de alta tecnologia, conhecida como ataque "man-in-the-middle" envolvendo espionagem de Wi-Fi, pode permitir que cibercriminosos dentro de conexões Wi-Fi públicas espiem sua senha à medida que você entra nela, se estiver conectado à mesma rede. Ambas as técnicas existem há anos, mas isso não significa que elas não sejam mais uma ameaça.
Como proteger seus dados de login
Há muitas coisas que você pode fazer para bloquear essas técnicas, seja adicionando uma segunda forma de autenticação, gerenciando suas senhas de forma mais eficaz, ou tomando medidas para impedir o roubo em primeiro lugar. Considere as seguintes opções:
- Use apenas senhas ou frases fortes e únicas para todas as suas contas on-line, especialmente contas bancárias, de e-mail e de redes sociais;
- Evite reutilizar seus dados de login em várias contas e cometer outro erro comum em relação ao uso de senhas;
- Ative a autenticação de dois fatores (2FA) em todas as suas contas;
- Use um gerenciador de senhas, que armazenará senhas fortes e exclusivas para cada site e conta, tornando os logins simples e seguros;
- Altere sua senha imediatamente se um provedor o alerta que seus dados podem ter sido comprometidos;
- Use apenas sites HTTPS para logins;
- Não clique em links ou abra anexos em e-mails não solicitados;
- Faça apenas download de aplicativos das lojas de aplicativos oficiais;
- Invista em um software de segurança de um fornecedor confiável em todos os seus dispositivos;
- Certifique-se de que todos os sistemas operacionais e aplicações estejam atualizados com a versão mais recente;
- Cuidado com os olhares curiosos em espaços públicos;
- Nunca faça login em uma conta se você estiver conectado a uma rede Wi-Fi pública; e caso seja realmente necessário usar tal rede, use também uma VPN.
A extinção das senhas está prevista há mais de uma década. No entanto, as alternativas muitas vezes lutam para substituir a própria senha, o que significa que os usuários terão que tomar as coisas em suas próprias mãos. Esteja atento e cuide da segurança de seus dados de login.