In a credential stuffing attack, cybercriminals take advantage of weak and reused passwords. Automated bots will take a list of username/password pairs that have been exposed in data breaches and try them on other online accounts. If the user has the same credentials on multiple sites, this provides the attacker with unauthorized access to a legitimate user account.
Os ataques de preenchimento de credenciais usam grandes listas de pares de nome de usuário/senha que foram expostos. Em algumas violações de dados, o armazenamento inadequado de credenciais resulta no vazamento de todo o banco de dados de senhas. Em outros, os cibercriminosos quebram as senhas de alguns usuários por meio de ataques de adivinhação de senhas. Os enchedores de credenciais também podem obter acesso a nomes de usuário e senhas por meio de phishing e ataques semelhantes.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Ataques de senha de força bruta são um termo geral que abrange algumas técnicas de ataque específicas diferentes. Em geral, um ataque de força bruta significa que o invasor está apenas tentando diferentes combinações de senha até que algo funcione.
O termo ataque de força bruta é mais comumente usado para se referir a um ataque em que o invasor tenta todas as opções possíveis para obter uma senha. Por exemplo, um ataque de força bruta a uma senha de oito caracteres pode tentar aaaaaaaa, aaaaaaab, aaaaaaac, etc. Embora essa abordagem garanta a descoberta da senha correta eventualmente, ela é lenta a ponto de ser inviável para uma senha forte.
O preenchimento de credenciais adota uma abordagem diferente para adivinhar a senha de um usuário. Em vez de examinar todas as combinações possíveis de senhas, ele se concentra naquelas que foram usadas por uma pessoa porque foram expostas em uma violação. Essa abordagem para adivinhação de senha é muito mais rápida do que uma pesquisa de força bruta, mas pressupõe que as senhas serão reutilizadas em vários sites. No entanto, como a maioria das pessoas reutiliza a mesma senha para vários sites, essa é uma suposição segura.
O preenchimento de credenciais representa um sério risco para a segurança pessoal e corporativa. Um ataque de preenchimento de credenciais bem-sucedido dá ao invasor acesso à conta do usuário, que pode conter informações confidenciais ou a capacidade de realizar transações financeiras ou outras ações privilegiadas em nome do usuário. No entanto, apesar da bem divulgada ameaça de reutilização de senhas, a maioria das pessoas não está alterando seus comportamentos em relação às senhas.
O preenchimento de credenciais também pode colocar a empresa em risco se as senhas forem reutilizadas em contas pessoais e comerciais. As empresas podem tomar algumas medidas diferentes para mitigar o risco de ataques de preenchimento de credenciais, incluindo:
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
Para ver o Harmony Browse em ação, confira este vídeo.