{"id":20531,"date":"2023-01-12T10:32:42","date_gmt":"2023-01-12T13:32:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20531"},"modified":"2023-01-12T10:32:42","modified_gmt":"2023-01-12T13:32:42","slug":"how-criminals-can-get-your-password","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/how-criminals-can-get-your-password\/20531\/","title":{"rendered":"Como sua senha pode cair em m\u00e3os erradas"},"content":{"rendered":"

Para a maioria de n\u00f3s, uma senha \u00e9 simplesmente o m\u00e9todo mais comum de autentica\u00e7\u00e3o para in\u00fameros servi\u00e7os online. Mas para os cibercriminosos, \u00e9 muito mais que isso \u2013 \u00e9 um atalho para a vida de outra pessoa, uma ferramenta de trabalho de import\u00e2ncia central e uma mercadoria que pode ser vendida. Conhecendo uma senha, os bandidos podem n\u00e3o apenas se apossar de suas contas, dados, dinheiro e at\u00e9 identidade; eles tamb\u00e9m podem usar voc\u00ea como um elo fraco para atacar online seus amigos, parentes ou at\u00e9 mesmo a sua empresa. Para evitar isso, voc\u00ea precisa, em primeiro lugar, entender como cibercriminosos podem obter sua senha.<\/p>\n

Como sua senha pode cair nas m\u00e3os de cibercriminosos?<\/h2>\n

H\u00e1 um equ\u00edvoco generalizado de que, para fornecer sua senha a cibercriminosos, voc\u00ea precisa cometer um erro \u2013 baixar e executar um arquivo n\u00e3o verificado da internet, abrir um documento de um remetente desconhecido ou inserir suas credenciais em algum site suspeito. \u00c9 verdade que todos esses padr\u00f5es de comportamento podem facilitar muito a vida dos invasores, mas tamb\u00e9m existem outros cen\u00e1rios. Aqui est\u00e3o os m\u00e9todos cibercriminosos mais comuns para obter acesso \u00e0s suas contas.<\/p>\n

Phishing<\/h3>\n

Este \u00e9, de fato, um dos m\u00e9todos de coleta de credenciais que depende principalmente de erro humano. Centenas de sites de phishing, auxiliados por milhares de correspond\u00eancias que levam a eles, surgem todos os dias. No entanto, se por algum motivo voc\u00ea pensa que nunca cair\u00e1 no truque do phishing, voc\u00ea est\u00e1 errado. O m\u00e9todo \u00e9 quase t\u00e3o antigo quanto a pr\u00f3pria internet, ent\u00e3o os cibercriminosos tiveram muito tempo para desenvolver v\u00e1rios truques de engenharia social e t\u00e1ticas de disfarce. \u00c0s vezes, nem mesmo os especialistas conseguem distinguir um e-mail de phishing de um real sem um olhar atento.<\/p>\n

Malware<\/h3>\n

Outra forma comum de roubar suas credenciais \u00e9 com malware. De acordo com nossas estat\u00edsticas, uma propor\u00e7\u00e3o significativa de malware \u00e9 composta por trojans ladr\u00f5es, cujo principal objetivo \u00e9 esperar at\u00e9 que um usu\u00e1rio fa\u00e7a login em algum site ou servi\u00e7o, copiar suas senhas e envi\u00e1-las aos criminosos. Se voc\u00ea n\u00e3o estiver usando solu\u00e7\u00f5es de prote\u00e7\u00e3o, os trojans podem se esconder em seu computador sem serem detectados por anos \u2013 voc\u00ea n\u00e3o saber\u00e1 que algo est\u00e1 errado, porque eles n\u00e3o causam nenhum dano vis\u00edvel, apenas silenciosamente fazem seu trabalho.<\/p>\n

E os trojans ladr\u00f5es n\u00e3o s\u00e3o o \u00fanico malware que ca\u00e7a senhas. \u00c0s vezes, os cibercriminosos injetam web skimmers \u2013 ataques de carteirinha \u2013 em sites e roubam tudo o que os usu\u00e1rios inserem, incluindo credenciais, nomes, detalhes do cart\u00e3o e assim por diante.<\/p>\n

Vazamentos de terceiros<\/h3>\n

No entanto, voc\u00ea n\u00e3o precisa cometer nem mesmo cometer um erro. Basta ser usu\u00e1rio de algum servi\u00e7o de internet inseguro ou cliente de uma empresa que vazou um banco de dados com as informa\u00e7\u00f5es de seus clientes. Obviamente, as empresas que levam ciberseguran\u00e7a a s\u00e9rio n\u00e3o armazenam as senhas, ou pelo menos o fazem de forma criptografada. Mas voc\u00ea nunca pode ter certeza de que foram tomadas medidas suficientes. Por exemplo, o vazamento deste ano do SuperVPN<\/u> continha detalhes pessoais e credenciais de login de 21 milh\u00f5es de usu\u00e1rios.<\/p>\n

Al\u00e9m disso, algumas empresas n\u00e3o podem evitar o armazenamento de suas senhas. Sim, estou falando sobre o infame hack do utilit\u00e1rio de gerenciamento de senha do LastPass. De acordo com as informa\u00e7\u00f5es mais recentes, um agente de amea\u00e7a desconhecido acessou o armazenamento em nuvem com alguns dados de cliente, incluindo backups de cofres. Sim, esses cofres foram devidamente criptografados e o LastPass nunca armazenou ou sequer conheceu as chaves de descriptografia. Mas e se os clientes do LastPass bloqueassem seus cofres com uma senha que j\u00e1 havia vazado de alguma outra fonte? Se eles reutilizassem uma senha insegura, agora os cibercriminosos poderiam acessar todas as suas contas de uma s\u00f3 vez.<\/p>\n

Agentes de acesso inicial<\/h3>\n

E aqui chegamos a outra fonte de senhas roubadas \u2013 o mercado paralelo. Os cibercriminosos atuais preferem se especializar em determinados campos. Eles podem roubar suas senhas, mas n\u00e3o necessariamente us\u00e1-las: \u00e9 mais lucrativo vend\u00ea-las no atacado. A compra desses bancos de dados de senhas \u00e9 especialmente atraente para os criminosos, porque oferece a eles o pacote completo: os usu\u00e1rios tendem a usar as mesmas senhas em v\u00e1rias plataformas e contas, muitas vezes vinculando-as ao mesmo e-mail. Assim, tendo a senha de uma plataforma, os cibercriminosos podem obter acesso a muitas outras contas da v\u00edtima \u2013 desde suas contas de jogos at\u00e9 seu e-mail pessoal ou at\u00e9 mesmo contas privadas em sites adultos.<\/p>\n

\"Um

Um an\u00fancio de um f\u00f3rum de hackers: algu\u00e9m est\u00e1 oferecendo 280 mil nomes de usu\u00e1rios e senhas para v\u00e1rias plataformas de jogos por apenas US$ 4.000<\/p><\/div>\n

Bancos de dados corporativos vazados que podem ou n\u00e3o conter credenciais tamb\u00e9m s\u00e3o vendidos no mesmo mercado paralelo. O pre\u00e7o desses bancos de dados varia dependendo da quantidade de dados e do setor da organiza\u00e7\u00e3o: alguns bancos de dados de senhas podem ser vendidos por centenas de d\u00f3lares.<\/p>\n

Existem certos servi\u00e7os na darknet que agregam senhas e bancos de dados vazados e, em seguida, permitem acesso pago baseado em assinatura ou acesso \u00fanico a suas cole\u00e7\u00f5es. Em outubro de 2022, o infame grupo de ransomware LockBit invadiu<\/a> uma empresa de assist\u00eancia m\u00e9dica e roubou seus bancos de dados de usu\u00e1rios com informa\u00e7\u00f5es m\u00e9dicas. Eles n\u00e3o apenas venderam assinaturas para essas informa\u00e7\u00f5es na darknet \u2013 presumivelmente, eles compraram o acesso inicial no mesmo mercado ilegal.<\/p>\n

\"Um

Um servi\u00e7o darknet que fornece acesso pago a bancos de dados com informa\u00e7\u00f5es roubadas.<\/p><\/div>\n

Ataques de for\u00e7a bruta<\/h3>\n

Em alguns casos, os cibercriminosos nem precisam de um banco de dados roubado para descobrir sua senha e invadir sua conta. Eles podem usar ataques de for\u00e7a bruta, ou seja, tentar milhares de variantes t\u00edpicas de senha at\u00e9 que uma delas funcione. Sim, n\u00e3o parece muito confi\u00e1vel. Mas eles n\u00e3o precisam testar todas as combina\u00e7\u00f5es poss\u00edveis \u2013 existem certas ferramentas (geradores de lista de palavras) que podem criar uma lista de poss\u00edveis senhas comuns (os chamados dicion\u00e1rios de for\u00e7a bruta) com base nas informa\u00e7\u00f5es pessoais da v\u00edtima.<\/p>\n

Esses programas parecem um miniquestion\u00e1rio sobre a v\u00edtima. Eles pedem nome, sobrenome, data de nascimento, informa\u00e7\u00f5es pessoais sobre parceiros, filhos e at\u00e9 animais de estima\u00e7\u00e3o. Os invasores podem at\u00e9 adicionar palavras-chave que conhecem sobre o alvo que podem ser lan\u00e7adas na mistura. Usando essa mistura de palavras, nomes, datas e outros dados relacionados, os geradores de listas de palavras criam milhares de variantes de senha, que os invasores tentam posteriormente durante o login.<\/p>\n

\"Um

Um servi\u00e7o que pode gerar um dicion\u00e1rio para ataques de for\u00e7a bruta com base nas informa\u00e7\u00f5es conhecidas sobre a v\u00edtima pretendida.<\/p><\/div>\n

Para usar esse m\u00e9todo, os cibercriminosos precisam realizar pesquisas primeiro \u2013 e \u00e9 a\u00ed que esses bancos de dados vazados podem ser \u00fateis. Eles podem conter informa\u00e7\u00f5es como datas de nascimento, endere\u00e7os ou respostas a \u201cperguntas secretas\u201d. Outra fonte dos dados \u00e9 o compartilhamento excessivo nas redes sociais. Algo que parece absolutamente insignificante, como uma foto de 6 de dezembro com a legenda \u201choje \u00e9 anivers\u00e1rio do meu amado cachorrinho\u201d.<\/p>\n

Poss\u00edveis consequ\u00eancias de uma senha vazada ou descoberta por for\u00e7a bruta<\/h2>\n

Existem algumas consequ\u00eancias \u00f3bvias: os cibercriminosos podem assumir o controle de sua conta e exigir algum resgate, us\u00e1-la para enganar seus contatos e amigos online ou, se conseguirem obter a senha do site ou aplicativo de seu banco, esvaziar sua conta. No entanto, \u00e0s vezes suas inten\u00e7\u00f5es n\u00e3o s\u00e3o t\u00e3o \u00f3bvias.<\/p>\n

Por exemplo, com o aumento da quantidade de jogos que introduzem suas moedas de jogo e microtransa\u00e7\u00f5es em suas plataformas, mais usu\u00e1rios t\u00eam seus m\u00e9todos de pagamento vinculados \u00e0s suas contas. Isso torna os jogadores um alvo interessante para os hackers. Ao obter acesso \u00e0 conta do jogo, eles podem roubar objetos de valor do jogo, como skins, itens raros ou moeda interna do jogo, ou fazer uso indevido dos dados do cart\u00e3o de cr\u00e9dito da v\u00edtima.<\/p>\n

Os bancos de dados vazados e as informa\u00e7\u00f5es obtidos ao pesquisar suas contas podem ser usados \u200b\u200bn\u00e3o apenas para ganhos financeiros, mas tamb\u00e9m para danos \u00e0 reputa\u00e7\u00e3o e outros tipos de danos sociais, incluindo doxing<\/em>. Se voc\u00ea \u00e9 uma celebridade, pode ser chantageado e enfrentar uma escolha: divulga\u00e7\u00e3o de informa\u00e7\u00f5es pessoais (que podem afetar sua reputa\u00e7\u00e3o) ou perda de dinheiro.<\/p>\n

Mesmo que voc\u00ea n\u00e3o seja uma celebridade, pode se tornar v\u00edtima de doxing \u2013 o ato de revelar informa\u00e7\u00f5es de identifica\u00e7\u00e3o sobre algu\u00e9m online \u2013 como nome real, endere\u00e7o residencial, local de trabalho, telefone, informa\u00e7\u00f5es financeiras e outras informa\u00e7\u00f5es pessoais. Os ataques de doxing podem variar desde os relativamente inofensivos, como inscri\u00e7\u00f5es em in\u00fameras listas de e-mail ou pedidos falsos de entrega de pizza em seu nome, at\u00e9 outros muito mais perigosos, como v\u00e1rias formas de cyberbullying, roubo de identidade ou at\u00e9 mesmo persegui\u00e7\u00e3o pessoal.<\/p>\n

Por fim, se voc\u00ea estiver usando a mesma senha para contas pessoais e de trabalho, os cibercriminosos podem controlar seu e-mail corporativo e us\u00e1-lo para esquemas de comprometimento de e-mail comercial ou at\u00e9 mesmo ataques direcionados.<\/p>\n

Como proteger suas contas contra acessos indesejados<\/h2>\n

Primeiro de tudo \u2013 sempre tenha em mente a higiene da senha:<\/p>\n