Descrever ataques baseados em autenticação

  • 4 minutos

Os ataques de autenticação ocorrem quando alguém tenta roubar as credenciais de outra pessoa. Em seguida, podem fingir ser essa pessoa. Como um dos objetivos desses tipos de ataques é se passar por um usuário legítimo, eles também podem ser chamados de ataques de identidade. Os ataques comuns incluem, entre outros:

  • Ataque de força bruta
  • Ataque de dicionário
  • Preenchimento de credenciais
  • Keylogging
  • Engenharia social

Ataque de força bruta

Em um ataque de força bruta, um criminoso tentará obter acesso simplesmente experimentando diferentes nomes de usuários e combinações de senhas. Normalmente, os invasores têm ferramentas que automatizam esse processo usando milhões de combinações de nome de usuário e senha. Senhas simples, com autenticação de fator único, são vulneráveis a ataques de força bruta.

Ataque de dicionário

Um ataque de dicionário é uma forma de ataque de força bruta, em que um dicionário de palavras comumente usadas é aplicado. Para evitar ataques de dicionário, é importante usar símbolos, números e combinações de várias palavras em uma senha.

Preenchimento de credenciais

O preenchimento de credenciais é um método de ataque que aproveita o fato de que muitas pessoas usam o mesmo nome de usuário e senha em muitos sites. Os invasores usarão credenciais roubadas, geralmente obtidas após uma violação de dados em um site, para tentar acessar outras áreas. Os invasores normalmente usam ferramentas de software para automatizar esse processo. Para evitar o preenchimento de credenciais, é importante não reutilizar senhas e alterá-las regularmente, em especial após uma violação de segurança.

Keylogging

O keylogging envolve software mal-intencionado que registra em log os pressionamentos de teclas. Usando o keylogger, um invasor pode registrar (roubar) combinações de nome de usuário e senha, que podem ser usadas para ataques de preenchimento de credenciais. Esse é um ataque comum em Internet cafes ou em qualquer lugar em que você usa um computador compartilhado para acesso. Para evitar o keylogging, não instale softwares não confiáveis e use softwares de verificação de vírus confiáveis.

O keylogging não está limitado apenas a computadores. Suponha que alguém mal-intencionado instale uma caixa ou dispositivo no leitor de cartão e no teclado em um caixa eletrônico. Quando você insere o cartão, ele passa primeiro pelo leitor de cartão da parte mal-intencionada, capturando os dados do cartão antes de alimentá-lo para o leitor de cartão do caixa eletrônico. Agora, quando você digita seu PIN usando o teclado da parte mal-intencionada, ele também obtém seu PIN.

Engenharia social

A engenharia social envolve uma tentativa de fazer com que as pessoas revelem informações ou concluam uma ação para habilitar um ataque.

A maioria dos ataques de autenticação envolve a exploração de computadores ou uma tentativa de experimentar várias combinações de credenciais. Os ataques de engenharia social são diferentes porque exploram as vulnerabilidades humanas. O invasor tenta obter a confiança de um usuário legítimo. Ele persuade o usuário a divulgar informações ou realizar uma ação que permite que ele cause danos ou roubo de informações.

Várias técnicas de engenharia social podem ser usadas para roubo de autenticação, incluindo:

  • Phishing, que ocorre quando um invasor envia um email aparentemente legítimo com o objetivo de fazer com que um usuário revele suas credenciais de autenticação. Por exemplo, um email pode parecer vir do banco do usuário. Um link é aberto que se parece com a página de login do banco, mas na verdade é um site falso. Quando um usuário faz logon no site falso, suas credenciais ficam disponíveis para o invasor. Há muitas variações de phishing, incluindo o phishing direcionado, que tem como alvo organizações, empresas ou indivíduos específicos.
  • Pretexto, um método em que um invasor obtém a confiança da vítima e a convence a divulgar informações seguras. Isso então pode ser usado para roubar sua identidade. Por exemplo, um hacker pode ligar para você fingindo ser do banco e pedir sua senha para verificar sua identidade. Outra abordagem usa mídia social. Você pode ser solicitado a responder a uma pesquisa ou um teste em que são feitas perguntas aparentemente aleatórias e inocentes que o levarão a revelar fatos pessoais, ou você receberá algo que parece divertido, como criar o nome de sua banda pop de fantasia usando o nome de seu primeiro animal de estimação e o lugar em que você nasceu.
  • Baiting, que é uma forma de ataque em que o criminal oferece uma recompensa ou prêmio falso para levar a vítima a divulgar informações seguras.

Outros métodos de ataque baseados em autenticação

Estes são apenas alguns exemplos de ataques baseados em autenticação. Sempre há o potencial para novos tipos de ataque, mas todos os listados aqui podem ser impedidos instruindo as pessoas e usando autenticação multifator.