• Vinicius Casagrande

O que é Credential Stuffing e como proteger a sua empresa.



O que é Credential Stuffing


O Credential Stuffing é um tipo de ataque cibernético no qual as credenciais da conta invadida geralmente consistem em uma lista de nomes de usuário ou endereços de e-mail. Nesse caso, a senha correspondente é usada para obter acesso não autorizado à conta do usuário por meio de uma solicitação de login automático em grande escala para o aplicativo da web. Ao contrário do cracking de credencial, os ataques de preenchimento de credencial não tentam usar força bruta ou adivinhar senhas. O invasor precisa apenas fazer login automaticamente em um grande número (milhares a milhões) de pares de credenciais descobertos anteriormente. Para isso, utiliza ferramentas de automação padrão da Web como Selenium, cURL e PhantomJS. Para piorar as coisas, algumas ferramentas são projetadas especificamente para executar esses ataques, como Sentry MBA, SNIPR, STORM, Blackbullet e Openbullet.



Por exemplo, um invasor pode obter uma lista de nomes de usuário e senhas correspondentes obtidos por meio de uma violação de dados de uma loja de departamentos e usar essas mesmas credenciais para tentar fazer logon no site de um banco. Os cibercriminosos querem que esses usuários mantenham pelo menos uma pequena parte de suas senhas para acessar o banco.


Risco de vulnerabilidade no uso de senha


Usar senhas simples ou repetitivas facilita o acesso diário, mas também pode abrir brechas de segurança e permitir que hackers descubram credenciais para acessos múltiplos. A conveniência de simplesmente repetir as credenciais de login e senha pode se tornar um hábito sem que o usuário saiba dos riscos envolvidos. Portanto, os ataques de Credential Stuffing podem causar grandes danos a indivíduos e empresas. Um único software pode testar milhões de combinações possíveis por segundo e identificar padrões simples de uso em um curto período de tempo.


Em outras palavras, para os hackers, as credenciais simples ou universais são as que mais podem ser destruídas. Atualmente, as senhas ainda são consideradas o principal recurso para comprovar a identidade do usuário e verificar seus direitos de acesso. Se a proteção e as precauções necessárias não forem tomadas, qualquer indivíduo ou máquina pode acessar facilmente dados e informações confidenciais. Redes sociais, e-mail corporativo e contas financeiras, quando dependem de uma única etapa de verificação, podem se tornar alvos de ataques cibernéticos, danos de acesso ou vazamento de dados.


Como evitar ataques de Credential Stuffing


Para prevenir esses crimes, é necessário repensar e reconstruir a cultura de segurança digital das pessoas. A segurança de nossos dados não pode depender de um conjunto pequeno de caracteres (mesmo que contenham letras maiúsculas, números ou símbolos). Portanto, a prática de converter senhas em combinações complexas deve ser popularizada o mais rápido possível. No entanto, essas medidas isoladas não são suficientes.


Os usuários precisam escolher uma estrutura de verificação passo a passo que contenha mais dados, em vez de ficarem satisfeitos com uma informação. Portanto, o acesso à liberação deve se tornar uma ocasião cheia de condições e testes. Afinal, ter apenas uma solicitação de senha não é uma política de segurança. A verificação multifatorial em várias etapas pode passar por avaliação rigorosa, precisa e contínua, extrair com segurança e confiança o máximo de dados possível do usuário. Desta forma, permite que você avalie a autenticidade dos usuários de diferentes perspectivas antes de fornecer acesso aberto e completo. Caso necessite de proteção a nível corporativo, clique aqui e conheça o Bot Manager Akamai, a solução que detecta e desvia os ataques de bots mais sofisticados e protege a sua empresa antes mesmo que as ameaças atinjam suas aplicações.



Para simplificar esse processo, você pode usar uma ferramenta de autenticação de dois fatores. Este recurso permite que os usuários obtenham maior segurança de acesso por meio da verificação em duas etapas no login, onde um token gerado no aplicativo é solicitado. Se a sua empresa precisa de soluções contra Credential Stuffing, a Exbiz pode te ajudar. O Bot Manager da Akamai é a solução mais eficaz do mercado quando se trata de Credential Stuffing. Entre em contato e conheça essa e outras soluções de segurança para a sua empresa.


Esperamos que este artigo tenha sido útil para você e para obter mais informações sobre as soluções AKAMAI clique aqui.

Veja também o um artigo específico sobre os 04 principais tipos de ataques cibernéticos.


(11) 3878 5800 comercial@exbiz.com.br


3 visualizações0 comentário

Posts recentes

Ver tudo