A ISH Tecnologia trouxe à luz um relatório onde destrincha como é realizada a venda de credenciais roubadas em um passo a passo desde o roubo dessas informações, até a venda delas em sites e fóruns clandestinos.
Devido à sua grande efetividade, o roubo de credenciais continua sendo um dos métodos mais utilizados por cibercriminosos. Esse mercado é lucrativo, e uma vez com as credenciais, esses criminosos conseguem acessar banco de dados de empresas e plataformas para concluir a fraude.
Num primeiro momento, os criminosos decidem qual dos vários modos de conseguir essas credenciais será utilizado, desde a dedução por força bruta, até programas que podem ser baixados nas máquinas das vítimas.
Um dos modos mais comuns para roubar essas credenciais são os sites falsos utilizando de e-mails e propagandas para anunciar uma “oferta imperdível” ou outra motivação, como emocional, ameaçador etc., fazendo com que suas vítimas forneçam suas credenciais e seus dados sejam roubados sem muita dificuldade.
Por conta disso, milhares de dados são vendidos diariamente em fóruns ilegais. “Primeiro devemos entender”, começa Caique Barqueta, Analista de Malware da ISH, “que beira o impossível calcular quantas credenciais, vazadas e roubadas, existem em mercados/fóruns clandestinos, já que o grande volume de acessos roubados anteriormente se junta com os roubados recentemente e acabam sendo comercializadas como novas”.
Depois, já com essas informações em mãos, o próximo passo é a venda. Os anúncios de credenciais nesses mercados e fóruns seguem um padrão. Para atrair compradores, esses cibercriminosos incluem algumas informações sobre o acesso, não tão explicitas para que não ocorra o reconhecimento da vítima.
As postagens afirmam conter dados como nomes, senhas, endereços de e-mail, localizações, entre outros. Uma vez que seus dados estão nas mãos desses criminosos, eles podem valer milhões de reais para serem devolvidos.
Para Caique, um fator que torna esse crime tão eficaz é a reutilização de senhas. “Esses usuários, pela alta demanda de senhas para recordar, acabam reutilizando suas credenciais tanto para uso pessoal quanto para uso de ferramentas de trabalho”. Mesmo que a organização não seja atacada diretamente, seus trabalhadores utilizam o mesmo login em plataformas externas, o que facilita o trabalho desses criminosos. “Supõe-se que, seguindo a lógica da reutilização, essa senha desse funcionário segue um padrão, independente de qual seu uso”.
Além disso, a equipe da ISH também lista uma série de medidas técnicas para as empresas e organizações se protegerem contra esses ataques:
Utilizar credenciais fortes, de preferência com 14 caracteres ou mais, e misturando maiúsculas, minúsculas, números e símbolos;
Habilitar o Múltiplo Fator de Autenticação (MFA) para todas as contas que possam ser utilizadas, tanto corporativas quanto privadas;
Utilizar a proteção de perímetro de infraestrutura (rede) em sua organização, utilizando-se de SIEM, XDR/EDR, Firewalls, Endpoints e qualquer outra medida de segurança;
Realizar e testar constantemente os backups dos dados da empresa;
Aplicar treinamentos de conscientização de segurança em sua empresa, focando principalmente nos usuários, demonstrando os riscos e medidas que podem ser adotadas para mitigá-los;
E outros tipos de ações que visem mitigar qualquer tipo de risco de ataques cibernéticos.
