Descrever ataques baseados em autenticação

  • 4 minutos

Os ataques de autenticação ocorrem quando alguém tenta roubar as credenciais de outra pessoa. Podem então fingir ser essa pessoa. Como um dos objetivos desses tipos de ataques é se passar por um usuário legítimo, eles também podem ser frequentemente referidos como ataques de identidade. Os ataques comuns incluem, mas não estão limitados a:

  • Ataque de força bruta
  • Ataque de dicionário
  • Preenchimento de credenciais
  • Registo de chaves
  • Engenharia social

Ataque de força bruta

Em um ataque de força bruta, um criminoso tentará obter acesso simplesmente tentando diferentes combinações de nomes de usuário e senhas. Normalmente, os atacantes têm ferramentas que automatizam esse processo usando milhões de combinações de nome de usuário e senha. Senhas simples, com autenticação de fator único, são vulneráveis a ataques de força bruta.

Ataque de dicionário

Um ataque de dicionário é uma forma de ataque de força bruta, onde um dicionário de palavras comumente usadas é aplicado. Para evitar ataques de dicionário, é importante usar símbolos, números e várias combinações de palavras em uma senha.

Preenchimento de credenciais

O preenchimento de credenciais é um método de ataque que se aproveita do fato de que muitas pessoas usam o mesmo nome de usuário e senha em muitos sites. Os atacantes usarão credenciais roubadas, geralmente obtidas após uma violação de dados em um site, para tentar acessar outras áreas. Os atacantes normalmente usam ferramentas de software para automatizar esse processo. Para evitar o preenchimento de credenciais, é importante não reutilizar senhas e alterá-las regularmente, especialmente após uma violação de segurança.

Registo de chaves

O keylogging envolve software mal-intencionado que registra pressionamentos de teclas. Usando o keylogger, um invasor pode registrar (roubar) combinações de nome de usuário e senha, que podem ser usadas para ataques de preenchimento de credenciais. Este é um ataque comum em cibercafés ou em qualquer lugar que você use um computador compartilhado para acesso. Para evitar o keylogging, não instale software não fidedigno e utilize software de análise de vírus respeitável.

O keylogging não se limita apenas aos computadores. Suponha que um agente mal-intencionado instale uma caixa ou dispositivo sobre o leitor de cartões e o teclado em um caixa eletrônico. Quando você insere seu cartão, ele passa primeiro pelo leitor de cartões de maus atores - capturando os detalhes do cartão, antes de alimentá-lo no leitor de cartões ATMs. Agora, quando você digita seu pino usando o teclado do mau ator, eles também recebem seu pino.

Engenharia social

A engenharia social envolve uma tentativa de fazer com que as pessoas revelem informações ou concluam uma ação para permitir um ataque.

A maioria dos ataques de autenticação envolve a exploração de computadores ou uma tentativa de tentar muitas combinações de credenciais. Os ataques de engenharia social são diferentes na medida em que exploram as vulnerabilidades dos seres humanos. O invasor tenta ganhar a confiança de um usuário legítimo. Eles convencem o usuário a divulgar informações ou tomar uma ação que lhes permita causar danos ou roubar informações.

Várias técnicas de engenharia social podem ser usadas para roubo de autenticação, incluindo:

  • O phishing ocorre quando um invasor envia um e-mail aparentemente legítimo com o objetivo de fazer com que um usuário revele suas credenciais de autenticação. Por exemplo, um e-mail pode parecer ser do banco do usuário. Um link é aberto para o que parece ser a página de login do banco, mas na verdade é um site falso. Quando um usuário faz login no site falso, suas credenciais ficam disponíveis para o invasor. Existem várias variações de phishing, incluindo spear-phishing, que tem como alvo organizações, empresas ou indivíduos específicos.
  • O pretexto é um método em que um atacante ganha a confiança da vítima e a convence a divulgar informações seguras. Isso pode ser usado para roubar sua identidade. Por exemplo, um hacker pode ligar para você, fingindo ser do banco, e pedir sua senha para verificar sua identidade. Outra abordagem utiliza as redes sociais. Você pode ser solicitado a completar uma pesquisa ou um questionário, onde eles fizeram perguntas aparentemente aleatórias e inocentes que fazem você revelar fatos pessoais, ou você terá algo que parece divertido, como inventar o nome de sua banda pop-star de fantasia usando o nome de seu primeiro animal de estimação e o lugar onde você nasceu.
  • Baiting é uma forma de ataque em que o criminoso oferece uma recompensa ou prêmio falso para incentivar a vítima a divulgar informações seguras.

Outros métodos de ataque baseados em autenticação

Estes são apenas alguns exemplos de ataques baseados em autenticação. Há sempre o potencial para novos tipos de ataque, mas todos os listados aqui podem ser evitados educando as pessoas e usando a autenticação multifator.