Apropriação de conta

O sequestro de conta (ATO) é uma forma de roubo de identidade e fraude em que uma terceira parte maliciosa consegue aceder com sucesso às credenciais de conta de um utilizador.

Ao fazerem-se passar pelo utilizador real, os cibercriminosos podem alterar detalhes da conta, enviar emails de phishing, roubar informações financeiras ou dados sensíveis, ou usar informações roubadas para aceder a outras contas dentro da organização.

Embora a proliferação da comunicação digital tenha tornado todos os colaboradores vulneráveis a roubo de contas ( um estudo recente da Javelin relatou mais de 13 mil milhões de dólares em perdas associadas ao ATO apenas em 2023), os departamentos mais em risco são TI, recursos humanos e gestão de alto nível. Estas equipas têm acesso direto a dados sensíveis, informações financeiras e infraestrutura de segurança.

Os ataques de apropriação de conta não discriminam as empresas por tamanho, indústria ou localização. Tradicionalmente, os atacantes têm como alvo principalmente organizações maiores, mas a crescente ubiquidade da informação digital e a facilidade de distribuição de tecnologia de segurança ilegal significam que a clássica "rede de segurança" das pequenas empresas já não é uma realidade. Na verdade, porque as empresas menores são por vezes menos vigilantes em relação a atividades incomuns no login, criação de conta ou redefinição de senha, elas podem ser alvos mais atraentes do que as grandes corporações. Isto significa que é importante para todas as organizações serem proativas para prevenir problemas graves de apropriação de conta.

O crescimento da comunicação digital e do armazenamento de dados significa que os cibercriminosos têm mais pontos de entrada ao tentar aceder às informações pessoais dos utilizadores. Além disso, como as pessoas nem sempre são diligentes na utilização de palavras-passe robustas, os cibercriminosos não precisam de informações altamente sensíveis para aceder com sucesso a uma conta. Análise de 2023 pela NordPass revelou que as cinco principais palavras-passe em uso eram uma combinação de números sequenciais (ou seja, “123456”) ou simplesmente “admin.”

Os atacantes procurarão o ponto de entrada mais simples e construirão a tomada de conta a partir daí. Pode começar com qualquer informação pessoal usada ao iniciar sessão, como um endereço de email, nome completo, data de nascimento ou cidade de residência, todos os quais podem ser encontrados com uma pesquisa mínima.

Assim que um hacker assume o canal de comunicação principal de um utilizador, pode alterar tudo o que a conta lhe dá acesso, como perguntas de segurança, palavras-passe, definições de encriptação e nomes de utilizador. Este bloqueio total pode até fazer com que o utilizador real pareça suspeito ao tentar resolver o problema, uma vez que já não conhece as informações atualizadas associadas à conta.

Malware

Os hackers utilizam malware para assumir o controlo de contas, implantando vários tipos de software malicioso que infiltram o dispositivo ou a rede do utilizador. Este malware pode assumir a forma de keyloggers que registam as teclas pressionadas, spyware que monitoriza a atividade do utilizador ou programas mais complexos que intersetam o tráfego de rede. Uma vez instalado, o malware recolhe informações sensíveis, como credenciais de login, capturando-as diretamente enquanto são introduzidas, roubando-as de locais armazenados ou intersetando-as durante a transmissão.

Phishing

Um dos 13 tipos de ameaças de email populares, os cibercriminosos usam correspondência de phishing para enganar os utilizadores e levá-los a revelar as suas informações pessoais por email. Embora os emails de phishing possam ser automatizados e mais fáceis de identificar, os emails de spear phishing são altamente direcionados e mais enganosos.

Abuso de credenciais

Esta técnica explora o hábito das pessoas de reutilizarem palavras-passe. Os cibercriminosos obtêm credenciais roubadas ou divulgadas de várias empresas (ou compradas na dark web). Em seguida, testam essas credenciais em vários websites na esperança de encontrar casos onde uma vítima usa as mesmas informações de login em várias contas.

Cookies

Os hackers utilizam cookies para assumir contas ao explorar cookies de sessão, que são pequenos pedaços de dados armazenados no dispositivo de um utilizador para manter o seu estado de login nos websites.

Quando um utilizador inicia sessão num site, o servidor gera um cookie de sessão que é armazenado no navegador do utilizador. Os hackers podem roubar estes cookies através de vários métodos, tais como ataques de cross-site scripting (XSS) e injeção de scripts maliciosos em páginas web que capturam cookies quando os utilizadores visitam a página. Outro método é através de ataques man-in-the-middle (MitM), que os hackers utilizam para intercetar e roubar cookies durante a transmissão em redes não seguras.

Depois de o hacker obter o cookie de sessão, pode personificar o utilizador ao injetar o cookie roubado no seu navegador, obtendo efetivamente acesso à conta do utilizador sem saber as credenciais de login reais. Isto permite-lhes realizar ações como se fossem o utilizador legítimo, levando a potenciais roubos de dados, fraudes financeiras e outras atividades maliciosas.

Vulnerabilidades de aplicações

Os hackers exploram vulnerabilidades de aplicações para assumir o controle de contas, direcionando-se para fraquezas em aplicações web e seus sistemas subjacentes. Técnicas comuns incluem injeção de SQL para contornar a autenticação e acessar dados de utilizadores diretamente das bases de dados, XSS para roubar tokens de sessão, e exploração de mecanismos de autenticação quebrados para adivinhar ou forçar senhas. Eles podem também explorar referências diretas inseguras, configurações de segurança incorretas, validação de entrada insuficiente e vulnerabilidades de API.

Esses métodos permitem que os atacantes contornem as medidas de segurança normais, roubem credenciais, manipulem dados de contas ou obtenham acesso não autorizado a contas de utilizadores. O objetivo final é tomar o controlo de contas de utilizadores legítimos, o que abre a porta ao roubo de dados, fraude financeira e outros atos maliciosos.

Botnets

Os hackers implementam bots para invadir as contas dos clientes. Estes bots podem inserir senhas e nomes de utilizador comuns para realizar ataques rápidos e de alto volume e assumir o controlo do máximo número de contas — tudo enquanto permanecem ocultos da vista imediata. Como os bots são implementados a partir de múltiplas localizações, é mais difícil identificar endereços IP maliciosos a fazer login.

Engenharia social

Em ataques de engenharia social, os perpetradores de tomadas de contas pesquisam bases de dados abertas e redes sociais, à procura de informações pertinentes como nome, localização, número de telefone ou nomes de membros da família — qualquer coisa que ajude a adivinhar uma palavra-passe.

A maioria dos ataques de tomada de conta de contas visa o acesso a dados sensíveis e informações financeiras. Por conseguinte, é essencial que departamentos como TI, RH e gestão estejam cientes dos riscos associados às suas responsabilidades.

• O departamento de TI trata da infraestrutura técnica, incluindo segurança e gestão de dados — uma conta de TI comprometida pode levar a uma rede comprometida ou a um sério roubo de dados.
• RH tem acesso a informações sensíveis dos funcionários e é responsável por gerir a folha de pagamento e outros dados financeiros, que são altamente valiosos para os cibercriminosos.
• Gestores de nível superior têm acesso e autoridade sobre partes importantes de uma organização — o acesso às suas contas pode levar a fraude financeira ou roubo de dados.

Alvos populares de tomada de conta

Aqui está uma análise mais detalhada dos tipos de organizações em risco de apropriação de conta:

Pequenas e médias empresas (PMEs)

As PME podem ser alvos principais de ataques de apropriação de contas devido às suas vulnerabilidades únicas. Estas organizações tipicamente têm menos recursos de cibersegurança e podem não ter a expertise técnica para implementar medidas de segurança robustas, com 51% das pequenas empresas a não implementar quaisquer medidas de cibersegurança.

Eles frequentemente utilizam várias plataformas online para diversas operações comerciais, criando uma superfície de ataque maior para os cibercriminosos.

Instituições financeiras

Os bancos, cooperativas de crédito e outras instituições financeiras são alvos desejáveis para ataques de tomada de conta. Eles detêm grandes quantidades de dados pessoais e financeiros sensíveis dos seus clientes, tornando as violações bem-sucedidas extremamente lucrativas.

Os bancos regionais menores podem ser particularmente vulneráveis se tiverem medidas de segurança desatualizadas. Além disso, os rigorosos requisitos regulamentares aos quais devem aderir podem, por vezes, criar vulnerabilidades relacionadas com a conformidade que os atacantes podem explorar, uma vez que as agências reguladoras podem precisar de acesso a dados para avaliar práticas de gestão e proteção.

Sites de comércio eletrónico

As plataformas de comércio eletrónico são frequentemente alvo (representando 64% dos ciberataques) devido aos dados valiosos dos clientes que armazenam, incluindo nomes, endereços e informações de pagamento. Estes sites processam grandes volumes de transações, oferecendo aos atacantes um vasto conjunto de alvos potenciais.

Muitos clientes reutilizam palavras-passe em várias contas, aumentando o risco de tomadas de conta generalizadas se um site for comprometido. Os sites de comércio eletrónico são particularmente vulneráveis durante os períodos de pico de compras, quando os elevados volumes de tráfego podem mascarar atividades maliciosas.

As empresas de comércio eletrónico também são vulneráveis a métodos de fraude de retalho mais tradicionais, incluindo compras não autorizadas e fraude de cartões de oferta através de contas comprometidas. As contas de clientes neste setor são frequentemente vendidas na dark web, fornecendo aos cibercriminosos acesso a informações pessoais e detalhes de pagamento armazenados.

Indústria dos media e entretenimento

Os atacantes costumam visar o setor de media e entretenimento. Por exemplo, 1 em cada 10 pessoas tiveram as suas contas de streaming hackeadas. Os cibercriminosos podem vender informações de login roubadas, permitindo acesso não autorizado a esses serviços. Isto não só resulta em perdas financeiras para as empresas, mas também degrada a experiência do utilizador para os clientes legítimos.

Indústria hoteleira

Hotéis, companhias aéreas e outros negócios de hospitalidade são frequentemente alvo devido às suas contas de programas de fidelidade e saldos de recompensas. Estas contas muitas vezes contêm informações pessoais valiosas que os atacantes podem explorar para roubo de identidade ou fraude. Além disso, a natureza transitória dos serviços de hospitalidade pode tornar difícil a deteção e resposta rápida a sequestros de contas.

Indústria desportiva

As organizações desportivas detêm informações sensíveis, como negociações de atletas e registos médicos, tornando-as alvos atraentes. Os documentos de propriedade intelectual e estratégia nesta indústria podem ser extremamente valiosos, influenciando potencialmente os resultados dos jogos ou fornecendo informação privilegiada para fins de apostas.

Indústria de jogos

A indústria de jogos é alvo de informações de pagamento dentro do jogo e de ativos virtuais, que podem ter valor monetário no mundo real. Contas de jogos comprometidas também são frequentemente usadas para esquemas de phishing que visam outros jogadores, explorando a confiança dentro das comunidades de jogos.

Empresas de tecnologia

As empresas de tecnologia são alvos principais devido à valiosa propriedade intelectual e aos dados dos utilizadores que detêm. O acesso aos seus sistemas pode levar a violações de segurança generalizadas, afetando potencialmente milhões de utilizadores e causando danos reputacionais significativos.

Organizações de cuidados de saúde

As instituições de saúde armazenam registos médicos altamente sensíveis e informações pessoais, tornando-as alvos atraentes para os cibercriminosos. As regulamentações rigorosas que regem este setor significam que as violações podem resultar em penalizações financeiras severas e perda de confiança dos pacientes.

Instituições educativas

As escolas e universidades costumam ter grandes redes com bases de utilizadores diversificadas, tornando-as difíceis de proteger. Podem conter dados de investigação valiosos e informações de estudantes que podem ser explorados para vários fins maliciosos.

Agências governamentais

Organizações governamentais são alvo de informações sensíveis e oportunidades potenciais de espionagem. Violações neste setor podem ter implicações significativas para a segurança nacional e podem ser motivadas por fatores tanto financeiros como políticos.

Plataformas de troca de criptomoedas

Essas plataformas possuem ativos digitais valiosos que podem ser transferidos de forma rápida e anônima se comprometidos. O potencial para altos ganhos financeiros faz deles alvos frequentes de ataques cibernéticos sofisticados.

A aquisição de conta não é inerentemente útil para um cibercriminoso. O que acontece depois de obterem acesso é onde ocorre o dano sério. Estes impactos podem afetar tanto empresas como indivíduos:

• Negócio
  • Venda de credenciais: Alguns atacantes roubam as credenciais dos funcionários e vendem-nas na dark web.
  • Comprometimento de email empresarial: Atacantes sofisticados irão roubar as credenciais de funcionários-chave e usá-las para lançar um ataque a partir do endereço de email do funcionário real para configurar uma transação fraudulenta ou transferência de fundos.
  • Danos à reputação: Ataques de tomada de conta de contas podem ter como alvo múltiplos utilizadores finais de uma organização, causando danos a longo prazo à reputação da segurança e privacidade de dados de um negócio.
  • Consequências regulatórias: Dependendo da indústria e localização, as empresas podem enfrentar multas ou penalizações por não protegerem adequadamente os dados dos clientes.
  • Perturbações operacionais: Lidar com ataques ATO pode perturbar as operações normais de negócios, uma vez que os recursos são desviados para resolver o problema.
• Individual
  • Aquisição adicional de conta: Alguns atacantes utilizam contas comprometidas para realizar reconhecimento e lançar ataques personalizados.
  • Campanhas de phishing: Alguns atacantes tentam utilizar contas de email hackeadas para lançar campanhas de phishing que passarão despercebidas.
  • Perdas financeiras: As vítimas de fraude por tomada de conta podem sofrer perdas financeiras diretas se os atacantes usarem as suas contas para efetuar compras ou transferências não autorizadas.
  • Roubo de identidade: A informação pessoal obtida através de fraude em ataques de tomada de conta pode ser utilizada para um roubo de identidade mais abrangente, afetando possivelmente várias áreas da vida de uma pessoa.
  • Perturbação emocional: Lidar com as consequências de um ataque ATO pode ser stressante e consumir muito tempo para as vítimas.

Existem várias medidas de segurança disponíveis para proteger contra a tomada de controlo de contas:

• Perguntas de segurança: Os utilizadores devem responder a perguntas pré-determinadas após fornecerem com sucesso as senhas. Embora esta seja uma forma fundamental de aumentar a segurança, aumenta a probabilidade de proteger contra tentativas de login maliciosas.
• Autenticação de dois fatores (2FA): Ao conectar uma conta separada, como um número de telefone ou endereço de email alternativo, pode limitar o acesso de dispositivos ou endereços IP não reconhecidos a uma conta, mesmo que tenham a senha.
• Lista de bloqueio de IP: Reconhecer múltiplas tentativas de login de um único IP é um excelente sinal de que alguém está a tentar adivinhar passwords por força bruta ou a usar listas de credenciais roubadas para aceder a contas. Manter uma lista de bloqueio de IP robusta pode mitigar estes ataques.
• Limites de tentativas de login: Ao fornecer um número finito de tentativas de login para contas seguras, os cibercriminosos não conseguem bombardear tentativas de login, esperando encontrar a senha correta. Isto é especialmente eficaz contra o bombardeamento de bots originários de diferentes endereços IP.
• Rastreamento de dispositivos: Rastrear e mostrar locais de login pode ajudar a detectar atividades suspeitas. Por exemplo, um login que continua ocorrendo a 200 milhas de distância do utilizador pode sinalizar automaticamente ao IT que devem congelar a conta.
• Educação dos funcionários: Os funcionários são frequentemente a última linha de defesa contra a tomada de conta, por isso é essencial educá-los adequadamente sobre os sinais e sintomas de uma conta comprometida. Ferramentas de formação que mostram interações de tomada de conta ou e-mails de phishing podem ajudá-los a proteger a sua identidade online e evitar truques de engenharia social.
• Isolamento: Se as contas foram comprometidas, é importante que exista uma funcionalidade para deter novos comprometimentos. Ao isolar uma conta suspeita, toda a atividade pode ser monitorizada e interrompida se for, de facto, maliciosa.
• Configuração do WAF: Um firewall de aplicação web (WAF) robusto pode ser configurado para reconhecer e mitigar tentativas de tomada de conta através de políticas direcionadas que podem identificar credenciais roubadas, sinais de hacking por força bruta ou sondagens de botnets.
• Deteção de IA: Os WAFs tradicionais nem sempre são capazes de identificar ataques mais sofisticados de tomada de conta — políticas estáticas podem ser enganadas a pensar que tentativas de login maliciosas são na verdade legítimas. Desenvolvimentos recentes na tecnologia de IA têm sido aproveitados para identificar técnicas complexas de ataques de tomada de conta e podem monitorizar o tráfego de websites e aplicações web para detetar atividade suspeita.
• Força da palavra-passe: Um dos métodos com menor barreira para proteger contra ATO é criar e implementar uma política de palavra-passe forte. Exigir que os funcionários criem palavras-passe fortes e as redefinam rotineiramente mantém as informações de login atualizadas e os cibercriminosos a adivinhar.
• API e proteção de login: Hackers que usam stuffing de credenciais podem lançar tentativas de login repetidas com nomes e senhas diferentes, tentando adivinhar o acesso às suas contas. Usar uma solução de segurança de login e API é uma boa maneira de identificar e bloquear esses ataques.

Proteção contra Impersonação Barracuda é um motor de inteligência artificial poderoso que aprende os padrões únicos de comunicação das organizações para identificar e bloquear ataques de tomada de conta em tempo real. A sua proteção contra tomada de conta impede e mitiga danos decorrentes da tomada de conta ao monitorizar o tráfego de email e identificar rapidamente contas comprometidas.

Barracuda Security Awareness Training oferece formação e simulação de última geração para medir a vulnerabilidade dos seus colaboradores a e-mails de phishing e ataques de engenharia social que podem levar à apropriação de contas. Também pode explorar níveis mais profundos de proteção com software Barracuda Email Protection da Barracuda.

Identificar fatores de risco humano pode preparar a sua empresa para detetar e eliminar ataques direcionados lançados a partir de contas comprometidas. Contacte-nos agora se tiver perguntas ou quiser mais informações sobre proteção contra tomada de conta.