Ataques de preenchimento de credenciais usam processos automatizados para testar listas de pares de nome de usuário e senha roubados e obter acesso não autorizado a sites e aplicativos. Esses ataques podem causar prejuízos de milhões de dólares. A tática funciona em parte porque, embora usuários possam ser solicitados a criar uma senha mais complexa, políticas de complexidade de senha não conseguem considerar que as pessoas usam as mesmas credenciais em vários sites ou serviços.
A seguir, vamos analisar mais de perto o que é preenchimento de credenciais, como ele difere de força bruta e password spraying, os tipos de fraude que podem surgir após uma tomada de conta bem-sucedida e como impedir o preenchimento de credenciais com uma defesa em camadas.
Destaques
O preenchimento de credenciais explora a reutilização de senhas em várias contas. Políticas de senha fortes são ineficazes como defesa isolada contra esse tipo de ataque.
Plataformas de software como serviço (SaaS) e inteligência artificial (IA) enfrentam riscos de ataques de preenchimento de credenciais, incluindo tomadas de conta, abuso de interface de programação de aplicações (API) e exploração de nível gratuito.
Uma defesa eficaz exige a combinação de detecção de bots, triagem de credenciais comprometidas e sinais compartilhados em endpoints de login, registro e API.
O que é preenchimento de credenciais?
Preenchimento de credenciais é um ataque cibernético em que criminosos pegam pares de nome de usuário e senha vazados de violações de dados anteriores e os testam automaticamente contra outros serviços. Ele funciona porque a reutilização de senhas é comum. Estudos mostram de forma consistente que muitas pessoas usam as mesmas credenciais em várias contas, com 72% da geração Z relatando que reutilizam senhas.
Como funciona o preenchimento de credenciais?
Atacantes que usam preenchimento de credenciais obtêm listas de credenciais, às vezes chamadas de “listas combinadas”, em bancos de dados de violações em fóruns criminosos e marketplaces da darknet. Algumas dessas listas contêm centenas de milhões de pares verificados de nome de usuário e senha. Eles carregam essas listas em softwares capazes de enviar milhões de solicitações de login, lidar com CAPTCHAs, alternar entre endereços IP de proxies e interpretar respostas de êxito ou falha.
Para evitar regras simples de limitação de fluxo, os atacantes enviam essas solicitações de login de milhares de endereços diferentes, muitas vezes proxies residenciais que se assemelham ao tráfego legítimo de usuários. Quando o login tem êxito, a ferramenta o sinaliza. O atacante passa a ter uma conta verificada e funcional e pode extrair formas de pagamento armazenadas, dados pessoais, acesso à API ou créditos da conta.
Como o preenchimento de credenciais difere de força bruta e password spraying?
Preenchimento de credenciais, ataques de força bruta e password spraying são relacionados, mas estruturalmente distintos. A contramedida correta para um deles não necessariamente impede os outros.
Veja um resumo:
Força bruta: um ataque de força bruta tenta sistematicamente todas as combinações possíveis de senha contra uma conta específica. Ele é caro do ponto de vista computacional, lento e amplamente impraticável contra endpoints de login expostos na web com políticas de bloqueio de conta.
Password spraying: um ataque de password spraying testa uma ou algumas senhas comuns, por exemplo, Password1!, Welcome2024, em um grande número de contas. Ele é projetado para ficar abaixo dos limites de bloqueio por conta enquanto explora escolhas de senha fracas. Políticas de senha podem impedir que usuários tenham essas senhas comuns desde o início e são uma contramedida útil.
Preenchimento de credenciais: às vezes considerados uma subcategoria de ataques de força bruta, ataques de preenchimento de credenciais testam pares legítimos de nome de usuário e senha em páginas de login de destino e assumem o controle de qualquer conta em que conseguem entrar. Políticas padrão de senha não ajudam muito contra o preenchimento de credenciais porque não conseguem impedir clientes de reutilizar senhas em contas diferentes.
Quais são os sinais de alerta iniciais de um ataque de preenchimento de credenciais?
Ataques de preenchimento de credenciais raramente aparecem como um pico dramático. Com mais frequência, eles ficam visíveis como uma agregação lenta de sinais.
Observe o seguinte:
Taxas elevadas de falha de login em várias contas: um ataque de força bruta mostra muitas falhas em uma conta. O preenchimento de credenciais mostra uma taxa moderada de falha distribuída por milhares de contas simultaneamente. Se a taxa base de falhas de login da empresa for de 2% a 5% e de repente subir para 15% a 20% em toda a base, essa mudança exige investigação imediata.
Um influxo repentino de novos IPs: redes de proxy residencial geram solicitações de endereços que parecem limpos em listas de reputação. Mas um aumento repentino de IPs que nunca acessaram a plataforma antes é um sinal significativo quando correlacionado com a atividade de login.
Distribuições geográficas incomuns: logins agrupados em regiões que não correspondem aos padrões históricos de acesso de uma conta podem indicar acesso automatizado.
Strings de agente do usuário consistentes em muitas solicitações: populações legítimas de usuários apresentam enorme variação nas impressões digitais do navegador. Em ataques de preenchimento de credenciais, a mesma string de agente do usuário costuma se repetir em milhares de solicitações, o que é um padrão que merece ser sinalizado.
Alta proporção entre tentativas e êxitos: usuários normais falham uma ou duas vezes e depois conseguem entrar ou redefinem a senha. Ferramentas de preenchimento de credenciais têm êxito com pouca frequência, mas geram muitas tentativas por sessão.
Picos inexplicados de volume no endpoint de login: mesmo com rotação de IP, o próprio endpoint recebe mais solicitações totais durante ataques de preenchimento de credenciais. Um aumento enorme sem um evento de marketing ou lançamento de produto correspondente é um sinal de alerta.
Por que o preenchimento de credenciais é perigoso para plataformas SaaS e de IA?
Atacantes que usam preenchimento de credenciais verificam credenciais válidas para criar um portfólio de acessos. Depois de entrar, podem causar ainda mais danos.
Se a empresa opera uma plataforma de software como serviço (SaaS) ou IA, veja o que é necessário saber:
Tomada de conta e roubo de dados: depois de entrarem na conta de um cliente, os atacantes podem extrair dados pessoais, dados de pagamento, arquivos privados ou comunicações. Se a plataforma processa dados comerciais confidenciais, uma única conta comprometida pode causar exposição além do alvo original do atacante.
Monetização imediata da conta: os atacantes podem sacar valores de uma conta comprometida imediatamente. A conta pode ser esvaziada de créditos ou usada para compras fraudulentas, ou as credenciais podem ser revendidas em fóruns criminosos.
Fraude por formas de pagamento armazenadas: contas com formas de pagamento armazenadas são alvos de alto valor. Atacantes podem iniciar compras, transferir créditos ou redirecionar repasses, o que cria exposição financeira direta para a plataforma e seus usuários.
Fraude em novas contas: depois de confirmarem que a plataforma tem valor acessível, os atacantes costumam começar a criar mais contas fraudulentas. Testes gratuitos, bônus de registro e acesso à API vinculado a novas contas são alvos.
Abuso de teste gratuito e exploração de nível gratuito: o preenchimento de credenciais pode se transformar em outros tipos de fraude. Atacantes podem alternar entre acessos de nível gratuito em muitas contas para evitar limites de uso. Esse é um problema financeiro relevante para plataformas de IA, porque oferecer chamadas da API e créditos de inferência gratuitamente gera custo direto para a plataforma.
Abuso da API: contas em plataformas de IA normalmente vêm com acesso à API e cotas de uso. Atacantes que assumem o controle de contas podem esgotar essas cotas, revender acesso ou usar os recursos computacionais para seus próprios fins. Tudo isso gera custos de infraestrutura para a plataforma.
Sobrecarga de suporte: clientes com contas comprometidas exigem muito suporte. Redefinições de senha, contestações por fraude e fluxos de recuperação de conta consomem tempo, dinheiro e outros recursos.
Dano à reputação: usuários com contas comprometidas na plataforma podem culpar a plataforma, independentemente de onde as credenciais vazaram originalmente.
Como as plataformas podem combater ataques de preenchimento de credenciais sem prejudicar a experiência de login?
A prevenção contra ataques de preenchimento de credenciais depende da combinação de várias defesas, para que cada uma aumente o custo de um ataque. Veja algumas opções.
Limitação de fluxo com nuances
Se a empresa configurar limitação de fluxo geral por IP, os atacantes podem contorná-la usando rotação de proxies. Abordagens mais eficazes limitam o fluxo por conta, por exemplo, quantas tentativas com falha esta conta específica teve nos últimos 10 minutos?, impressão digital do dispositivo ou padrão comportamental. Uma combinação é ainda melhor.
Detecção de bots e análise de tráfego
Implemente uma solução de gestão de bots que analise sinais comportamentais, por exemplo, padrões de movimento do mouse, tempo entre pressionamentos de teclas, cadência das solicitações e respostas a desafios em JavaScript. Ferramentas como Cloudflare Bot Management ou Akamai Bot Manager pontuam o tráfego antes mesmo de ele chegar à lógica de autenticação.
Triagem de credenciais comprometidas
O modelo de k-anonimato permite que usuários verifiquem se a senha foi comprometida sem compartilhar a senha completa. Serviços como a ferramenta Pwned Passwords do Have I Been Pwned usam esse modelo para verificar se a senha de um usuário apareceu em conjuntos de dados de violações conhecidas.
Autenticação multifator condicional (MFA)
Em vez de exigir MFA em todos os logins, reserve solicitações de MFA para sinais anômalos. Se uma tentativa de login vier de um novo dispositivo, um novo país ou após um longo período de inatividade da conta, esse é um bom momento para exigir um segundo fator. Isso mantém a experiência eficiente para usuários regulares e, ao mesmo tempo, captura possíveis cenários de preenchimento de credenciais.
MFA obrigatória para ações de alto valor
Mesmo que a empresa não exija MFA no login, é recomendável exigi-la antes que um usuário possa alterar o endereço de e-mail, adicionar uma nova forma de pagamento ou acessar chaves de API. Isso limita os danos se uma tomada de conta ocorrer.
Como o Stripe Radar pode ajudar
O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Ele atualiza esses modelos continuamente com base nas tendências de fraude mais recentes, protegendo sua empresa conforme a fraude evolui.
A Stripe também oferece o Radar for Fraud Teams, que permite aos usuários adicionar regras personalizadas para lidar com cenários de fraude específicos de suas empresas e acessar análises avançadas sobre fraude.
O Radar pode ajudar sua empresa a:
Prevenir perdas por fraude: a Stripe processa mais de US$ 1 trilhão em pagamentos por ano. Essa escala permite que o Radar detecte e previna fraudes com precisão de forma única, gerando economia.
Aumentar a receita: os modelos de IA do Radar são treinados com dados reais de contestação, dados de clientes, dados de navegação e muito mais. Isso permite que o Radar identifique transações arriscadas e reduza falsos positivos, aumentando sua receita.
Poupar tempo: o Radar é integrado à Stripe e não exige nenhuma linha de código para configuração. Também é possível monitorar o desempenho de fraude, escrever regras e muito mais em uma única plataforma, aumentando a eficiência.
Saiba mais sobre o Stripe Radar ou comece já hoje mesmo.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.