O que é preenchimento de credenciais? | Preenchimento de credenciais x ataques de força bruta

Em um ataque de preenchimento de credenciais, credenciais de login roubadas que foram coletadas em determinado serviço são usadas para tentar invadir contas em vários outros serviços.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina o Preenchimento de Credenciais
  • Estabeleça a diferença entre Preenchimento de Credenciais e Ataques de Força Bruta
  • Entenda as estratégias de mitigação dos ataques de Preenchimento de Credenciais

Copiar o link do artigo

O que é preenchimento de credenciais?

O preenchimento de credenciais é um ataque cibernético no qual as credenciais obtidas por meio de uma invasão de dados a um determinado serviço são usadas para tentar fazer login em outro serviço não relacionado.

Exemplo de preenchimento de credenciais

Por exemplo, um invasor pode pegar uma lista de nomes de usuário e senhas obtidos por meio de uma violação dos dados de uma grande loja de departamentos e usar as mesmas credenciais de login para tentar fazer login no site de um banco nacional. O invasor espera que uma fração dos clientes da loja de departamentos também mantenha uma conta nesse banco e utilize os mesmos nomes de usuário e senhas para ambos os serviços.

O preenchimento de credenciais é amplamente difundido graças às enormes listas de credenciais violadas que estão sendo comercializadas e vendidas no mercado negro. A proliferação dessas listas, combinada aos avanços das ferramentas de preenchimento de credenciais que utilizam bots para contornar as tradicionais proteções de login, tornaram o preenchimento de credenciais um vetor de ataque popular.

O que torna o Preenchimento de Credenciais eficaz?

Em termos de estatísticas, os ataques de preenchimento de credenciais apresentam um índice de sucesso muito baixo. Muitas estimativas calculam que esse índice esteja em torno de 0,1%, o que significa que para cada mil contas que tenta atacar, um invasor terá sucesso em cerca de apenas uma. Porém, o grande volume de coletas de credenciais sendo negociado pelos atacantes faz com que o preenchimento de credenciais valha a pena, apesar do baixo índice de sucesso.

Essas coletas incluem milhões e, em alguns casos, bilhões de credenciais de login. Se um invasor tiver um milhão de conjuntos de credenciais, isso poderá lhe render cerca de 1.000 contas invadidas com sucesso. Mesmo que apenas um pequeno percentual das contas invadidas gere dados lucrativos (geralmente na forma de números de cartão de crédito ou de dados confidenciais que podem ser usados em ataques de phishing), o ataque terá valido a pena. Além disso, o invasor pode repetir o processo usando os mesmos conjuntos de credenciais em inúmeros serviços diferentes.

Os avanços na tecnologia de bots também podem tornar viáveis os ataques de preenchimento de credenciais. Os recursos de segurança incorporados aos formulários de login das aplicações na internet costumam incluir atrasos deliberados e o banimento dos endereços IP de usuários com repetidas tentativas de login malsucedidas. Os softwares modernos de preenchimento de credenciais evitam essas proteções usando bots para tentar simultaneamente vários logins que parecem provenientes de uma variedade de tipos de dispositivos e originários de diferentes endereços IP. O objetivo dos bots mal-intencionados é tornar as tentativas de login do invasor indistinguíveis do tráfego normal de login, no que são muito eficazes.

Muitas vezes, a única indicação que uma empresa vitimada tem de que está sendo atacada é o aumento no volume geral de tentativas de login. Mesmo assim, a empresa vitimada terá dificuldades para interromper essas tentativas sem que isso afete a capacidade dos usuários legítimos de fazer login no serviço.

O principal motivo pelo qual os ataques de preenchimento de credenciais são eficazes é que as pessoas reutilizam suas senhas. Estudos sugerem que a maioria dos usuários, que, segundo algumas estimativas, chega até 85%, reutiliza as mesmas credenciais de login para vários serviços. Enquanto essa prática continuar, o preenchimento de credenciais continuará sendo lucrativo.

Qual é a diferença entre o preenchimento de credenciais e os ataques de força bruta?

O OWASP categoriza o preenchimento de credenciais como um subconjunto dos ataques de força bruta. Mas, estritamente falando, o preenchimento de credenciais é muito diferente dos ataques de força bruta tradicionais. Os ataques de força bruta tentam adivinhar as senhas sem nenhum contexto ou pistas, usando caracteres aleatórios, às vezes combinados a sugestões de senha comuns. O preenchimento de credenciais usa dados expostos, reduzindo drasticamente o número de possíveis respostas corretas.

Uma boa defesa contra os ataques de força bruta é uma senha forte, composta de vários caracteres e incluindo letras maiúsculas, números e caracteres especiais. Mas a força da senha não protege contra o preenchimento de credenciais. Não importa o quão forte seja uma senha — se ela for compartilhada entre contas diferentes, o preenchimento de credenciais pode comprometê-la.

Como prevenir o preenchimento de credenciais

Como os usuários podem prevenir o preenchimento de credenciais

Do ponto de vista do usuário, a defesa contra o preenchimento de credenciais é bastante simples. Os usuários devem usar sempre senhas exclusivas para cada serviço diferente (uma maneira fácil de conseguir isso é com um gerenciador de senhas). Se um usuário usar sempre senhas exclusivas, o preenchimento de credenciais não funcionará em suas contas. Como medida de segurança adicional, os usuários são incentivados a sempre habilitar a autenticação de dois fatores quando estiver disponível.

Como as empresas podem prevenir o preenchimento de credenciais

Interromper um ataque de preenchimento de credenciais é um desafio mais complexo para as empresas que executam serviços de autenticação. O preenchimento de credenciais ocorre como resultado de violações de dados em outras empresas. Uma empresa vitimada por um ataque de preenchimento de credenciais não necessariamente precisa ter tido sua segurança comprometida.

Uma empresa pode sugerir que seus usuários forneçam senhas únicas, mas não pode efetivamente obrigá-los a cumprir essa regra. Algumas aplicações poderão comparar uma senha enviada a um banco de dados de senhas comprometidas conhecidas antes de aceitá-la, como uma medida de proteção contra o preenchimento de credenciais, mas tal medida não é à prova de falhas — o usuário pode estar reutilizando uma senha de um serviço que ainda não foi violado.

O fornecimento de recursos adicionais de segurança de login pode ajudar a mitigar o preenchimento de credenciais. A ativação de funcionalidades como a autenticação de dois fatores e a exigência de que os usuários preencham captchas ao fazer o login também ajudam a interromper a atividade de bots maliciosos. Embora essas duas funcionalidades incomodem os usuários, muitos concordam que a perspectiva de minimizar a ameaça de segurança faz com que valham a pena.

The strongest protection against credential stuffing is a bot management service. Bot management uses rate limiting combined with an IP reputation database to stop malicious bots from making login attempts without impacting legitimate logins. Cloudflare Bot Management, which gathers data from 25 million average requests per second routed through the Cloudflare network, can identify and stop credential-stuffing bots with very high accuracy.For organizations that want the same bot-blocking abilities but do not need an enterprise solution, Super Bot Fight Mode is now available on Cloudflare Pro and Business plans. With Super Bot Fight Mode, smaller organizations can take advantage of increased visibility and control over their bot traffic.