As credenciais são amplamente utilizadas como um controle de segurança para proteger a infraestrutura de rede e os ativos de informação de uma organização. Dessa forma, o roubo de credenciais costuma fazer parte do estágio inicial de um ataque cibernético.
Depois que os cibercriminosos obtêm credenciais válidas, eles geralmente podem operar sem serem detectados em uma rede e mergulhar mais fundo para descobrir dados mais sensíveis ou confidenciais mantidos pela organização.
Mas o que, então, você pode fazer para proteger os dados da sua empresa? Abaixo, daremos uma olhada em como funciona o roubo de credenciais e quais medidas você pode tomar para evitá-lo! Acompanhe:
Como funciona o roubo de credenciais
O roubo de credenciais é uma das principais formas de os hackers executarem ataques de ransomware. Depois que os invasores obtêm as credenciais válidas, eles procuram obter acesso às redes e sistemas da empresa, incluindo acesso ao Active Directory.
Assim que obtêm êxito, os agentes de ameaças podem usar o AD para explorar contas de usuários com privilégios e mapear a rede da organização. O acesso a contas de administrador com privilégios pode permitir que os invasores evitem a detecção e se movam lateralmente pela rede para descobrir mais ativos de informações de alto valor e exfiltrar enquanto infectam mais máquinas com o ransomware.
O movimento lateral é uma técnica usada pelos cibercriminosos para evitar a detecção e prolongar o ataque. O AD também possui um recurso de política de grupo que ajuda os administradores a gerenciar os dispositivos associados ao domínio e os usuários na rede.
Os invasores, então, podem explorar a política de grupo para implantar ransomware nos dispositivos conectados do AD da organização e criptografar sistemas associados ao domínio.
Existem várias ferramentas e técnicas que os cibercriminosos usam para tentar roubar detalhes de login e obter acesso não autorizado a contas ou sistemas, como:
- Força bruta: uma técnica de tentativa e erro que usa software automatizado para identificar credenciais de login válidas. Este software tentará adivinhar diferentes combinações de nomes de usuário e senhas em questão de segundos até que consiga “forçar” com sucesso o seu caminho para a conta do usuário;
- Pulverização de senha: ao contrário dos ataques de força bruta que se concentram em uma única conta, a difusão de senhas concentra-se no volume de contas direcionadas. Os cibercriminosos pegam as senhas comumente usadas e tentam acessar cada conta dentro da organização. Os invasores evitam obter bloqueios de conta com essa abordagem, pois primeiro usam uma senha comum em muitas contas antes de tentar usar uma segunda senha;
- Phishing: esse ataque de engenharia social é comumente baseado em e-mail, por meio do qual os criminosos cibernéticos tentam enganar os usuários para que forneçam diretamente suas credenciais. Os cibercriminosos podem se passar por outro colega ou fornecedor ou serviço terceirizado para fazer com que os usuários cliquem em um link malicioso;
- Interceptando o tráfego da internet: como uma técnica mais tecnológica para roubar credenciais, os invasores podem monitorar dados ou pacotes da internet por meio de redes wi-fi;
- Keylogger: os ataques de keylogger geralmente são realizados por meio de malware instalado furtivamente na máquina do usuário. Esse software malicioso simplesmente monitora todas as teclas físicas do usuário. Isso significa que o cibercriminoso só precisa esperar até que o usuário digite suas credenciais.
Como se proteger contra o roubo de credenciais
É importante identificar os ataques de roubo de credenciais com antecedência para proteger os sistemas e dados da organização.
Proteções avançadas de e-mail e navegador podem ajudar muito na prevenção do roubo de credenciais e na minimização do valor de credenciais roubadas para os invasores.
Além das precauções de e-mail e navegador, os administradores de TI também devem verificar os controles de rede existentes. O acesso Wi-Fi local deve ser protegido e cada usuário deve acessar a internet com credenciais individuais em vez de uma senha compartilhada comunitariamente.
Os mesmos padrões de senha se aplicam ao armazenamento de arquivos no local e outros recursos de LAN, e uma política de senhas fortes deve ser incentivada e compartilhada em toda a organização.
No entanto, a melhor forma de se prevenir contra o roubo de credenciais é utilizando o Single Sign-On (SSO) e a Autenticação Multifator (MFA) em conjunto.
O SSO significa que os usuários precisam controlar apenas um conjunto de credenciais que lhes concede acesso a e-mail e aplicativos da web. Combinado com a educação sobre os perigos do compartilhamento de senha, o SSO ajuda a reduzir a probabilidade de os usuários finais comprometerem a segurança da senha por uma questão de conveniência.
A autenticação multifator (MFA), por sua vez, ajuda a tornar inúteis as credenciais roubadas. Como a MFA exige que o usuário insira uma segunda forma de identificação para acesso, uma senha roubada por si só não é suficiente para violar uma conta. Habilitar o MFA em todas as instâncias possíveis pode ser a ação mais eficaz que os departamentos de TI podem tomar para combater o roubo de credenciais.
Embora a forma mais familiar de MFA seja um código de uso único enviado por mensagem de texto para o seu telefone, a versão mais segura é uma chave de segurança física que atende a esse propósito. Com uma chave de segurança, ninguém pode entrar nas contas onde você a configurou, a menos que tenha sua senha e acesso físico à chave.
Combinar as medidas acima em uma solução de identidade simplificada pode economizar uma quantidade significativa de tempo e trabalho manual para sua equipe de TI.
Para saber mais sobre como garantir sua segurança contra o roubo de credenciais, siga nosso blog e veja todas as nossas dicas!
