O que é Preenchimento de Credenciais? | Preenchimento de Credenciais x Ataques de Força Bruta

Em um ataque de preenchimento de credenciais, credenciais de login roubadas que foram coletadas em determinado serviço são usadas para tentar invadir contas em vários outros serviços.

Share facebook icon linkedin icon twitter icon email icon

Credential Stuffing

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Defina o Preenchimento de Credenciais
  • Estabeleça a diferença entre Preenchimento de Credenciais e Ataques de Força Bruta
  • Entenda as estratégias de mitigação dos ataques de Preenchimento de Credenciais

O que é preenchimento de credenciais?

O preenchimento de credenciais é um ataque cibernético no qual as credenciais obtidas por meio de uma violação de dados em determinado serviço são usadas para tentar fazer login em outro serviço não relacionado.

Exemplo de preenchimento de credenciais

Por exemplo, um invasor pode pegar uma lista de nomes de usuário e senhas obtidos por meio de uma violação dos dados de uma grande loja de departamentos e usar as mesmas credenciais de login para tentar fazer login no site de um banco nacional. O invasor espera que uma fração dos clientes da loja de departamentos também mantenha uma conta nesse banco e utilize os mesmos nomes de usuário e senhas para ambos os serviços.

O número de ataques de preenchimento de credenciais vem aumentando desde 2019 graças às negociações no mercado negro para a venda de enormes listas de credenciais violadas. A proliferação dessas listas, combinada aos avanços nas ferramentas de preenchimento de credenciais que usam bots para contornar as proteções de login tradicionais, transformou o preenchimento de credenciais em um vetor popular de ataques.

O que torna o Preenchimento de Credenciais eficaz?

Em termos de estatísticas, os ataques de preenchimento de credenciais apresentam um índice de sucesso muito baixo. Muitas estimativas calculam que esse índice esteja em torno de 0,1%, o que significa que para cada mil contas que tenta atacar, um invasor terá sucesso em cerca de apenas uma. Porém, o grande volume de coletas de credenciais sendo negociado pelos atacantes faz com que o preenchimento de credenciais valha a pena, apesar do baixo índice de sucesso.

Essas coletas incluem milhões e, em alguns casos, bilhões de credenciais de login. Se um invasor tiver um milhão de conjuntos de credenciais, isso poderá lhe render cerca de 1.000 contas invadidas com sucesso. Mesmo que apenas um pequeno percentual das contas invadidas gere dados lucrativos (geralmente na forma de números de cartão de crédito ou de dados confidenciais que podem ser usados em ataques de phishing), o ataque terá valido a pena. Além disso, o invasor pode repetir o processo usando os mesmos conjuntos de credenciais em inúmeros serviços diferentes.

Os avanços na tecnologia de bots também podem tornar viáveis os ataques de preenchimento de credenciais. Os recursos de segurança incorporados aos formulários de login das aplicações na internet costumam incluir atrasos deliberados e o banimento dos endereços IP de usuários com repetidas tentativas de login malsucedidas. Os softwares modernos de preenchimento de credenciais evitam essas proteções usando bots para tentar simultaneamente vários logins que parecem provenientes de uma variedade de tipos de dispositivos e originários de diferentes endereços IP. O objetivo dos bots mal-intencionados é tornar as tentativas de login do invasor indistinguíveis do tráfego normal de login, no que são muito eficazes.

Muitas vezes, a única indicação que uma empresa vitimada tem de que está sendo atacada é o aumento no volume geral de tentativas de login. Mesmo assim, a empresa vitimada terá dificuldades para interromper essas tentativas sem que isso afete a capacidade dos usuários legítimos de fazer login no serviço.

O principal motivo pelo qual os ataques de preenchimento de credenciais são eficazes é que as pessoas reutilizam suas senhas. Estudos sugerem que a maioria dos usuários, que, segundo algumas estimativas, chega até 85%, reutiliza as mesmas credenciais de login para vários serviços. Enquanto essa prática continuar, o preenchimento de credenciais continuará sendo lucrativo.

Qual é a diferença entre o preenchimento de credenciais e os ataques de força bruta?

O OWASP categoriza o preenchimento de credenciais como um subconjunto dos ataques de força bruta. Mas, estritamente falando, o preenchimento de credenciais é muito diferente dos ataques de força bruta tradicionais. Os ataques de força bruta tentam adivinhar as senhas sem nenhum contexto ou pistas, usando caracteres aleatórios, às vezes combinados a sugestões de senha comuns. O preenchimento de credenciais usa dados expostos, reduzindo drasticamente o número de possíveis respostas corretas.

Uma boa defesa contra os ataques de força bruta é uma senha forte, composta de vários caracteres e incluindo letras maiúsculas, números e caracteres especiais. Mas a força da senha não protege contra o preenchimento de credenciais. Não importa o quão forte seja uma senha — se ela for compartilhada entre contas diferentes, o preenchimento de credenciais pode comprometê-la.

Como prevenir o preenchimento de credenciais

Como os usuários podem prevenir o preenchimento de credenciais

Do ponto de vista do usuário, a defesa contra o preenchimento de credenciais é bastante direta. Os usuários sempre devem usar senhas exclusivas para cada serviço diferente (uma maneira fácil de conseguir isso é com um gerenciador de senhas). Se um usuário sempre usar senhas exclusivas, o preenchimento de credenciais não funcionará nas suas contas. Como uma medida de segurança adicional, os usuários são incentivados a sempre ativar a autenticação de dois fatores quando estiver disponível.

Como as empresas podem prevenir o preenchimento de credenciais

Interromper um ataque de preenchimento de credenciais é um desafio mais complexo para as empresas que executam serviços de autenticação. O preenchimento de credenciais ocorre como resultado de violações de dados em outras empresas. Uma empresa vitimada por um ataque de preenchimento de credenciais não necessariamente precisa ter tido sua segurança comprometida.

Uma empresa pode sugerir que seus usuários forneçam senhas únicas, mas não pode efetivamente obrigá-los a cumprir essa regra. Algumas aplicações poderão comparar uma senha enviada a um banco de dados de senhas comprometidas conhecidas antes de aceitá-la, como uma medida de proteção contra o preenchimento de credenciais, mas tal medida não é à prova de falhas — o usuário pode estar reutilizando uma senha de um serviço que ainda não foi violado.

O fornecimento de recursos adicionais de segurança de login pode ajudar a mitigar o preenchimento de credenciais. A ativação de recursos como a autenticação de dois fatores e a exigência de que os usuários preencham captchas ao fazer o login também ajudam a interromper a atividade de bots mal-intencionados. Embora essas duas funcionalidades incomodem os usuários, muitos concordam que a perspectiva de minimizar a ameaça à segurança faz com que valham a pena.

A melhor proteção contra o preenchimento de credenciais é um serviço de gerenciamento de bots. O gerenciamento de bots usa o Rate Limiting, combinado a um banco de dados de reputação de IPs, para impedir que bots mal-intencionados façam tentativas de login sem afetar os logins legítimos. O Gerenciamento de Bots da Cloudflare, que reúne dados de 425 bilhões de solicitações roteadas através da rede da Cloudflare todos os dias, pode identificar e deter os bots de preenchimento de credenciais com altíssima precisão.