33Giga

Roubo de senhas: veja 5 truques dos cibercriminosos e saiba se proteger

Roubo de senhas: veja 5 truques dos cibercriminosos

Como a senha geralmente é a única coisa entre um cibercriminoso e os dados pessoais e financeiros, os criminosos visam roubar ou descriptografar esses logins. Uma pessoa tem em média 100 credenciais de login para lembrar, e isso tem aumentado nos últimos anos.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Portanto, não é de admirar que os caminhos mais curtos sejam escolhidos e a segurança seja prejudicada como resultado. Por esse motivo, 33Giga e ESET alertam sobre as 5 formas mais comuns de os cibercriminosos roubarem senhas, para estarem mais bem preparados para minimizar os riscos de se tornarem vítimas e, assim, proteger as contas online.

Leia mais: 
Além de Bridgerton: 10 séries de época para assistir via streaming
45 séries com episódios de 30 minutos para assistir na Netflix

Como roubar senhas?

As senhas são as chaves virtuais do mundo digital, pois fornecem acesso a serviços bancários online, e-mail e redes sociais, contas como Netflix ou Uber, além de todos os dados hospedados em armazenamento em nuvem. Ao obter os logins, um cibercriminoso pode:

Veja, a seguir, 5 técnicas que os cibercriminosos mais usam para roubar senhas.

1. Phishing e engenharia social

A engenharia social é um truque psicológico projetado para convencer alguém a fazer algo que não deveria, e o phishing é a forma mais conhecida de engenharia social. Por meio desse tipo de ataque, os cibercriminosos se apresentam como entidades legítimas, amigos, familiares, organizações públicas e empresas conhecidas, etc.

O e-mail ou texto recebido parecerá autêntico, mas incluirá um link malicioso ou um anexo que, se clicado, fará o download de um malware ou o levará a uma página que solicitará que você insira dados pessoais. Felizmente, existem muitas maneiras de detectar os sinais de alerta de um ataque de phishing.

Os golpistas até usam telefonemas para obter diretamente logins e outras informações pessoais de suas vítimas, muitas vezes fingindo ser engenheiros de suporte técnico. Isso é conhecido como vishing (phishing baseado em voz).

2. Malware

Outra maneira popular de obter senhas é por meio de malware. Os e-mails de phishing são o principal vetor desse tipo de ataque, embora você também possa ser vítima de malware clicando em um anúncio malicioso (malvertising) ou mesmo visitando um site previamente comprometido (drive-by-download).

De acordo com o pesquisador da ESET Lukas Stefanko, o malware pode até estar oculto em um aplicativo móvel de aparência legítima, que é frequentemente encontrado em lojas de aplicativos de terceiros.

Existem muitas variedades de malware que roubam informações, mas alguns dos mais comuns são projetados para gravar pressionamentos de tecla ou fazer capturas de tela de um dispositivo e enviá-las aos invasores. Entre eles, os keyloggers.

3. Ataques de força bruta

O número médio de senhas que uma pessoa precisa gerenciar aumentou cerca de 25% em 2020. Como resultado, a maioria das pessoas tende a usar senhas fáceis de lembrar (e adivinhar) e comete o erro de usar as mesmas senhas para acessar vários sites e serviços.

No entanto, o que muitas vezes é esquecido é que senhas fracas podem abrir a porta para as chamadas técnicas de força bruta para descobrir senhas.

Um dos tipos mais comuns de força bruta é o preenchimento de credenciais. Nesse caso, os invasores despejam grandes volumes de combinações de nome de usuário/senha previamente comprometidas em software automatizado.

A ferramenta então testa as credenciais em um grande número de sites na esperança de encontrar uma correspondência. Dessa forma, os cibercriminosos podem desbloquear várias contas com uma única senha.

No ano passado, houve cerca de 193 trilhões dessas tentativas em todo o mundo, segundo uma estimativa da Akamai. Recentemente, o governo canadense foi vítima desse ataque.

Outra técnica de força bruta é a pulverização de senha. Nesse caso, os criminosos usam software automatizado para testar uma lista de senhas comumente usadas em uma conta.

4. Por dedução

Embora os cibercriminosos tenham ferramentas automatizadas para realizar ataques de força bruta e descobrir senhas, às vezes eles nem precisam delas – mesmo simples suposições, ao contrário da abordagem mais sistemática usada em ataques de força bruta, podem fazer o trabalho.

A senha mais comum para 2021 foi “123456”, seguida por “123456789”. E se a mesma senha for reciclada ou um derivado próximo for usado para acessar várias contas, a tarefa dos invasores será facilitada, adicionando um risco a mais de roubo de identidade e fraude.

5. Shoulder surfing

Vale lembrar que algumas das técnicas de espionagem também representam um risco. Esta não é a única razão pela qual olhares indiscretos sobre o ombro dos usuários ainda são um risco. Uma versão de alta tecnologia, conhecida como ataque “man-in-the-middle”, envolve espionagem de Wi-Fi e pode permitir que cibercriminosos em conexões Wi-Fi públicas espionem as senhas na mesma rede.

Dicas de proteção ao roubo de senhas

Há muitas maneiras de bloquear essas técnicas, seja adicionando uma segunda forma de autenticação, gerenciando senhas com mais eficiência ou tomando medidas para impedir o roubo em primeiro lugar.

A ESET sugere as seguintes dicas para proteger suas credenciais de login:

“A extinção de senhas foi prevista por mais de uma década. No entanto, as alternativas geralmente têm dificuldade em substituir a própria senha, o que significa que os usuários terão que resolver o problema com as próprias mãos”, comenta Camilo Gutierrez Amaya, chefe do Laboratório de Pesquisa ESET América Latina. “Manter-se vigilante e proteger a segurança de suas credenciais de login é o primeiro passo para proteger as informações pessoais.”