Principais métodos de roubos de senhas
Natalia Santos
14 de dezembro de 2022

Segundo dados do setor de cibersegurança, o número de credenciais expostas aumentou mais de 300% desde 2018.


Números mais recentes mostram que, no segundo trimestre de 2021 ocorreram 465,5 milhões de registros vazados, segundo o Relatório de vazamento de dados no Brasil, da Axur.


Há várias razões para uma credencial ser roubada: ataques cibernéticos, como malwares, phishing, spyware, ransomware e outros; falhas na configuração de segurança que não foram corrigidas; sistemas desatualizados; erros de colaboradores, falta de conhecimento técnico para proteger os dados ou ambiente; funcionários insatisfeitos ou mal intencionados; senhas fracas ou controle de acesso falho; exploração de vulnerabilidades etc. 

 

Os prejuízos do roubo de credenciais não são apenas financeiros, podem também ocasionar perda de reputação e vários outros danos.


Conheça, nesse artigo, 7 métodos de roubo de senhas e proteja-se!



1. Password Spraying


Ao contrário de um ataque típico no qual se testa uma grande quantidade de senhas em uma mesma conta, no Password Spraying o invasor visa invadir múltiplas contas ao mesmo tempo. 


Neste método, ele utiliza informações  vazadas, como e-mails, telefones e datas de aniversário para facilitar o processo.


Como funciona o ataque:


  • Agente malicioso pega uma senha
  • Pega a lista inteira de contas do usuário
  • Testa se a senha é válida em alguma conta
  • Repete o processo


Password Spraying x Brute Force:


Hoje, muitos sistemas implementam o bloqueio de conta como medida de segurança, após um determinado número de tentativas de login sem sucesso (geralmente três).


A vantagem do Password Spraying sobre o Brute Force é que, como são testadas uma pequena quantidade de senhas, o bloqueio de conta pode ser evitado. 



Como evitar esse tipo de ataque:


Com o passwordless seria impossível sofrer uma invasão como essas. Afinal, não haveria palavra de segurança para ser “adivinhada”. Dessa forma muitos usuários teriam sido poupados de terem suas contas invadidas.



2. Credential Stuffing


A técnica de enchimento de credenciais se baseia exclusivamente em lista de dados vazados, ou seja, no uso de credenciais obtidas por violação de dados para fazer login em outros serviços não relacionados.


Esse tipo de ataque se torna possível pois muitos usuários usam a mesma combinação de nome de usuário e senha em vários sites. 


Exemplo prático 1


Neste caso um um invasor pode pegar uma lista de nomes de usuário com as respectivas senhas de uma loja de departamentos, obtida por meio da violação dos dados, e usar essas mesmas credenciais para tentar fazer login no site de um banco. 


Exemplo prático 2


Invasões como essas têm sido frequentes em câmeras de segurança que se conectam à internet para engajar com aplicativos. Na Califórnia, Estados Unidos, uma mãe até descobriu que o hacker falava com sua filha de 2 anos através da câmera.


Como evitar esse tipo de ataque


O uso da autenticação multifator (MFA) evita a invasão da conta. Mesmo que o agente malicioso consiga as credenciais de acesso, não conseguirá ingressar devido à verificação do segundo fator de autenticação, o qual ele não teria visibilidade. O passwordless também evitaria a invasão. 


3. Spear Phishing


No spear phishing, o perfil e comportamento do alvo são analisados e escolhidos para receber mensagens por e-mail com o objetivo de persuadi-lo a fornecer suas senhas. 


Essa tática criminosa usa abordagens personalizadas e técnicas de engenharia social para customizar mensagens e sites com eficiência. Apesar de meticuloso, os resultados deste método são mais consistentes. 


Em alguns casos os hackers podem até se “disfarçar” de amigos ou familiares para conseguir o que querem.

Esse é outro método que poderia ser evitado com o passwordless.




4. Offline Password Cracking


Uma quebra de senha offline é uma tentativa de recuperar uma ou mais senhas de um arquivo de armazenamento de senhas que foi recuperado de um sistema de destino. Normalmente, seria o arquivo Security Account Manager (SAM), no Windows, ou o arquivo /etc/shadow, no Linux. 


Na maioria dos casos, esse método exige que o invasor já tenha os privilégios de administrador/raiz no sistema para acessar o mecanismo de armazenamento. 


Outra forma é através da extração dos hashes de senha de um banco de dados usando injeção de SQL, de um arquivo de texto simples desprotegido em um servidor da Web ou alguma outra fonte mal protegida.


Ataque de Força Bruta


A quebra de senha offline pode usar uma variedade de métodos para adivinhar a senha.

Um deles é o Brute Force. Esse método visa "adivinhar" uma senha, usando várias combinações de caracteres.


Ataque de Dicionário


Permite que o invasor use uma lista de senhas comuns e conhecidas. O dicionário pode conter palavras de um dicionário em inglês e português, e também uma lista vazada de senhas comumente usadas. O site CrackStation tem um dicionário para download de 1,5 bilhão de senhas , retiradas de violações conhecidas.



5. Rainbow Table Attack


Esse método usa uma tabela especial, chamada “arco-íris”, para quebrar os hashes de senha em um banco de dados. 

Os aplicativos não armazenam senhas em texto simples, mas as criptografam usando hashes. 


Depois que o usuário digita sua senha para fazer login, ela é convertida em hashes e o resultado é comparado com os hashes armazenados no servidor, buscando uma correspondência. Caso correspondam, o usuário será autenticado e poderá fazer login no aplicativo. 


A tabela arco-íris é uma tabela pré-computada que contém o valor de hash da senha para cada caractere de texto simples usado durante o processo de autenticação. 


Se os hackers conseguirem acessar a lista de hashes de senha, poderão quebrar todas as senhas muito rapidamente com uma tabela de arco-íris. 


Um sistema baseado no uso de senhas sempre estará suscetível a um ataque desse gênero. 


Para bloquear o Rainbow Table Attack é preciso gastar recursos que poderiam ser melhor aproveitados no passwordless e em outras aplicações. 


6. Keylogger


Através de um spyware malicioso instalado no dispositivo, esse malware capta as informações de todas as teclas digitadas, possibilitando roubar informações confidenciais, como senhas ou informações financeiras, que são então enviadas a terceiros para exploração criminosa.


Mas para chegar neste nível, primeiramente o cibercriminoso envia o malware para a vítima, através de spams em sites duvidosos. Depois, o software malicioso é instalado e começa a operar.


7. Shoulder Surfing


O termo em inglês, que pode ser traduzido como “olhando por cima dos ombros”, é um tipo de ataque bastante comum, que tende a acontecer em público.


Ocorre quando alguém rouba suas informações confidenciais observando secretamente você usar seu cartão de crédito, débito, dispositivo móvel ou laptop.


Ele funciona caso o invasor seja alguém próximo a você. Ladrões bisbilhotam e esperam que você baixe a guarda, como quando você está apressado ou distraído com as situações ao seu redor.



Implemente uma estratégia Passwordless e proteja suas credenciais


Senhas fracas são o ponto de entrada para a maioria dos ataques em contas corporativas e de consumidores. 


Segundo dados, 579 ataques de senha acontecem a cada segundo; por esta razão, migrar para um sistema sem senha (passwordless) é estar um passo à frente no nível de segurança. 


Saiba mais sobre isso e como implementar esta estratégia, em nosso e-book.

Acompanhe
nossas redes

Últimos Posts

Mulher jovem sentada digitando em notebook

Erros comuns em migração de IGA e como evitá-los com segurança

30 de abril de 2025
Descubra por que migrações de sistemas IGA falham e veja como evitar erros com uma abordagem segura, em fases e com foco em resultados reais.
Pessoas reunidas em uma mesa, focados em um notebook.

Como a Sec4U atinge recorde em migração de plataformas legadas

28 de abril de 2025
Modernizar sistemas legados é essencial para escalar com segurança. Descubra como fizemos isso com eficiência, baixo risco e foco na estratégia de negócio.
Pessoas apoiadas em mesa apontando para notebook.

Como modernizar Soluções Legadas em Identity Security?

17 de abril de 2025
Saiba como superar os desafios das soluções legadas com um plano de modernização seguro, escalável e orientado por resultados, sem comprometer a operação.