O que é pulverização de senhas?

O que é um ataque de pulverização de senhas?

Pulverização de senhas é um tipo de ataque de força bruta que envolve um infrator tentando usar a mesma senha em diversas contas antes de tentar outra. Ataques de pulverização de senhas costumam ser efetivos, porque muitos usuários usam senhas simples e fáceis de adivinhar, como "senha", "123456" etc.

Em muitas organizações, os usuários são bloqueados após um certo número de tentativas falhas. Já que ataques de pulverização de senhas envolvem testar uma senha em múltiplas contas, eles evitam o bloqueio que costuma ocorrer ao tentar forçar o acesso a uma única conta com diversas senhas.

Um recurso em particular da pulverização de senhas — como a palavra "pulverização" sugere — é que ela pode visar milhares ou até milhões de usuários de uma vez só em vez de apenas uma conta. O processo geralmente é automatizado e pode ocorrer ao longo do tempo para evitar ser detectado.

Ataques de pulverização de senhas costumam ocorrer onde o aplicativo ou administrador de uma organização define uma senha padrão para novos usuários. Plataformas de login único e baseadas na nuvem também podem ser bastante vulneráveis.

Embora a pulverização de senhas possa parecer simples se comparada a outros tipos de ciberataques, até grupos de crime cibernético sofisticados a utilizam.

Como funciona um ataque de pulverização de senhas?

Ataques de pulverização de senhas geralmente envolvem estas etapas:

Etapa 1: os cibercriminosos compram uma lista de nomes de usuários ou criam sua própria

Para iniciar um ataque de pulverização de senhas, os cibercriminosos começam comprando uma lista de nomes de usuários — as quais foram roubadas de diversas organizações.

Estima-se que há mais de 24 bilhões de credenciais à venda na dark Web.

Outra opção: os cibercriminosos podem criar sua própria lista seguindo os formatos que e-mails corporativos seguem — por exemplo, nome.sobrenome@nomedaempresa.com — e usando uma lista de funcionários obtida no LinkedIn ou de outras fontes de informação públicas.

Às vezes, cibercriminosos visam grupos específicos de funcionários — do financeiro, do administrativo ou da diretoria —, já que abordagens objetivas podem gerar mais resultado.

Eles têm como alvo empresas ou departamentos usando login único (SSO ou single sign-on) ou protocolos de autenticação federados — ou seja, a possibilidade de fazer login no Facebook com suas credenciais do Google, por exemplo — ou que não tenham autenticação multifator implementada.

Etapa 2: os cibercriminosos obtêm uma lista de senhas comuns

Ataques de pulverização de senhas incorporam listas de senhas comuns ou padrões.

É um processo relativamente direto encontrar as senhas mais comuns — vários relatórios e estudos as publicam todos os anos. Veja um exemplo de lista com senhas mais comuns utilizadas pelos brasileiros.

Os cibercriminosos também podem pesquisar para adivinhar senhas — por exemplo, usando o nome de equipes esportivas ou marcos proeminentes do local de uma empresa visada.

Etapa 3: os cibercriminosos tentam diferentes combinações de nome de usuário e senha

Assim que os cibercriminosos têm uma lista de nomes de usuários e senhas, o objetivo é testá-las até descobrir uma combinação que funcione.

Geralmente, o processo é automatizado com ferramentas de pulverização de senhas.

Os cibercriminosos usam uma senha para diversos nomes de usuários e repetem o processo com a próxima senha da lista para evitar políticas de bloqueio ou bloqueadores de endereços IP que limitam as tentativas de acesso.

Impacto de ataques de pulverização de senhas

Assim que um invasor acessa uma conta por meio de uma pulverização de senhas, ele espera que a conta tenha informações valiosas para roubar ou permissões suficientes para enfraquecer ainda mais as medidas de segurança da organização, ganhando acesso a dados ainda mais confidenciais.

Se bem-sucedidos, esses ataques podem causar um dano significativo às organizações.

Por exemplo, um invasor usando credenciais que parecem legítimas pode acessar contas financeiras para fazer compras fraudulentas. Se não for detectado, isso pode resultar em prejuízos financeiros para o negócio afetado.

O tempo de recuperação de um ciberataque pode levar alguns meses ou até mais tempo. Além de impactar nas finanças da organização, a pulverização de senhas pode atrasar bastante as operações diárias ou até interrompê-las.

E-mails empresariais maliciosos podem reduzir a produtividade. Um invasor que tomar uma conta bancária pode roubar informações particulares, cancelar compras ou mudar a data de entrega de serviços.

E também tem o dano à reputação — se uma empresa sofre uma violação dessas, há menos chance dos clientes acreditarem que seus dados estão seguros com aquela empresa.

Eles podem preferir contratar outra empresa, causando mais danos.

Colegas em um escritório olhando para uma tela de computador

Pulverização de senhas versus força bruta

A pulverização de senhas tenta acessar muitas contas com algumas senhas comumente usadas.

Em contraste, ataques de força bruta tentam ganhar acesso não autorizado a uma única conta adivinhndo a senha — geralmente usando grandes listas de possibilidades.

Em outras palavras, ataques de força bruta envolvem muitas senhas para cada nome de usuário e há diversas maneiras de realizar ataques de autenticação de senha.

Sinais de um ataque de pulverização de senhas

Ataques de pulverização de senhas geralmente causam tentativas de autenticação fracassadas e frequentes em diversas contas.

As organizações podem detectar atividades de pulverização de senhas nos registros de autenticação para falhas de login em sistema e em aplicativo de contas válidas.

No geral, os principais sinais de pulverização de senhas são:

Um alto volume de atividades de login em um curto período.
Um pico de tentativas de login fracassadas por usuários ativos.
Logins de contas não existentes ou inativas.

Como se proteger de ataques de pulverização de senhas

As organizações podem se proteger da pulverização de senhas com as seguintes precauções:

Implemente uma política de senha forte

Fomentando o uso de senhas fortes, as equipes de TI podem minimizar o risco de ataques de pulverização de senhas. Você pode ler sobre como criar uma senha forte aqui.

Configure a detecção de logins

Equipes de TI também devem implementar detecção de tentativas de login para múltiplas contas que ocorrem de um único host em um curto período de tempo — este é um indicador claro de tentativas de pulverização de senhas.

Garanta políticas de bloqueio fortes

Configurar um limite adequado para a política de bloqueio no nível de domínio protege contra pulverização de senhas.

O limite precisa atingir um equilíbrio entre ser baixo o suficiente para evitar que invasores façam múltiplas tentativas de autenticação dentro do período de bloqueio, mas não tão baixo a ponto de tirar o acesso de usuários por erros simples.

Também deve haver um processo claro para desbloquear e redefinir usuários verificados das contas.

Adote uma abordagem de confiança zero

Um pilar da abordagem de confiança zero é fornecer acesso apenas ao que é necessário naquele momento para concluir a tarefa em questão. Implementar a confiança zero em uma organização é essencial para a segurança da rede.

Use uma convenção de nome de usuário fora do padrão

Evite nomes de usuário óbvios como joão.silva ou jsilva. Os métodos mais comuns de fazer nomes de usuários, para qualquer coisa que não seja um e-mail.

Logins não padrões separados para contas de login único são uma das maneiras de evitar invasões.

Utilize biometria

Para evitar que invasores explorem possíveis fraquezas de senhas alfanuméricas, algumas organizações exigem um login biométrico. Sem a pessoa presente, o invasor não consegue fazer login.

Fique atento a padrões

Certifique-se de que quaisquer medidas de segurança vigentes possam identificar rapidamente padrões de login suspeitos, como um alto volume de contas tentando fazer login ao mesmo tempo.

Usar um gerenciador de senhas pode ajudar

Senhas são feitas para proteger informações confidenciais de infratores. No entanto, o usuário médio atual tem tantas senhas que pode ser difícil acompanhar todas — especialmente porque cada conjunto de credenciais deve ser exclusivo.

Para tentar acompanhá-las, alguns usuários cometem o erro de usar senhas óbvias e fáceis de adivinhar, e usam a mesma senha em diversas contas. É esse tipo de senha que fica vulnerável a ataques de pulverização de senhas.

As capacidades e ferramentas dos invasores evoluíram bastante nos últimos anos. Computadores são muito mais rápidos em adivinhar senhas hoje em dia. Os invasores usam automação para atacar bancos de dados de senhas ou contas digitais. Eles dominaram as técnicas e estratégias específicas que geram mais sucesso.

Para usuários individuais, usar um gerenciador de senhas como o Kaspersky Password Manager pode ajudar.

Gerenciadores de senhas combinam complexidade e tamanho para oferecer senhas difíceis de descobrir. Eles também podem eliminar o trabalho de ter que lembrar de diferentes credenciais; um gerenciador de senhas ajudará a verificar se há senhas repetidas para serviços diferentes.

Os gerenciadores são uma solução prática para usuários criarem, gerenciarem e armazenarem credenciais exclusivas.

Leitura complementar:

Como proteger seus dados on-line usando um gerenciador de senhas

A importância de um gerenciador de senhas

O que é pulverização de senhas? Entenda como evitar esses ataques

Kaspersky

Pulverização de senhas é um tipo de ataque de força bruta no qual infratores tentam usar a mesma senha em diversas contas. Entenda como funciona e como evitá-lo.