1st Dezembro 2020

7 Maneiras Hackers de Roubar Suas Senhas

Articles No comments

Uma forma ou de outra, as senhas são sempre notícia. Eles ou estão sendo roubados em violações de dados, ou zombados por serem muito simples, ridicularizados como inúteis, ou lamentados por serem tecnologicamente atrasados. Seja qual for a opinião que qualquer um de nós tenha sobre as senhas, uma coisa é indiscutível: vamos usá-las Hoje, Amanhã e no futuro previsível., Ao contrário das tecnologias de reconhecimento facial ou de toque, as senhas são usadas em todos os lugares porque são baratas de implementar e simples de usar. Para os utilizadores finais, são a tecnologia mais baixa possível. Claro que essa ubiquidade e simplicidade é precisamente o que torna as senhas atraentes para os ladrões. Neste post, damos uma olhada em como os hackers roubam nossas senhas e o que podemos fazer para pará-los.

enchimento credencial

nível de risco: elevado

estima-se que dezenas de milhões de contas sejam testadas diariamente por hackers utilizando enchimento credencial., o que é?

stuffing credencial, também conhecido como Replay list cleaning and breach, é um meio de testar bases de dados ou listas de credenciais roubadas – ou seja, senhas e nomes de usuário – contra várias contas para ver se há uma correspondência.como funciona?

Sites com pouca segurança são violados regularmente, e os ladrões ativamente visam despejar credenciais de usuário de tais sites para que eles possam vendê-los na dark net ou em fóruns subterrâneos., Como muitos usuários vão usar a mesma senha em diferentes sites, os criminosos têm uma boa chance estatisticamente de descobrir que o usuário usou a mesma senha em. Ferramentas para automatizar o teste de uma lista de credenciais roubadas em vários sites permitem que os hackers quebrem rapidamente novas contas, mesmo em sites que praticam boa segurança e higiene de senha.como pode ficar seguro?

a chave para não se tornar vítima de recheio de credencial é simples: cada senha para cada site deve ser única., Claro que isso não impedirá que sua senha seja roubada para uma conta em um site com pouca segurança, mas isso significa que qualquer compromisso de suas credenciais não vai afetá-lo em qualquer outro lugar na internet. Se você está ofegando com o pensamento de criar e lembrar senhas únicas para cada site que você usa, veja nossa seção de dicas perto do final do post.

Phishing

nível de Risco: Alto

mais de 70% de todos os cibercrimes começam com um ataque de phishing ou spear-phishing., Os Hackers adoram usar técnicas de phishing para roubar credenciais de usuário, ou para seu próprio uso, ou mais comumente para vender a criminosos na rede escura.o que é?

Phishing é um truque de engenharia social que tenta enganar os usuários para fornecer suas credenciais para o que eles acreditam ser um pedido genuíno de um site legítimo ou fornecedor. como funciona?

tipicamente, mas nem sempre, o phishing ocorre através de E-mails que contêm links fraudulentos para sites clonados ou um anexo malicioso., Em algum lugar ao longo da cadeia de eventos que começa com o usuário mordendo a isca, os fraudulentos vão apresentar um falso formulário de login para roubar o nome de login do Usuário e senha. Os infractores também utilizarão alguma forma de intercepção entre um utilizador e uma página de entrada genuína, como um ataque “homem no meio” para roubar credenciais.como pode ficar seguro?

utilize a autenticação de 2 factores ou multi-factores. Embora os pesquisadores tenham desenvolvido truques para superá-los, nos casos selvagens ainda devem ser relatados. Cuidado é a tua defesa número um contra o phishing., Ignorar os pedidos para se inscrever em serviços a partir de links de E-mail, e sempre ir diretamente para o site do Fornecedor em seu navegador. Verifique cuidadosamente os e-mails que contêm anexos. A maioria dos E-mails de phishing contém erros ortográficos ou outros erros que não são difíceis de encontrar se você tomar um momento para inspecionar a mensagem com cuidado.

palavra-Passe de Pulverização

Nível de Risco: Alta

estima-se que, talvez, 16% dos ataques a senhas de vir da palavra-passe de pulverização de ataques.o que é?,

palavra-Passe de pulverização é uma técnica que tenta usar uma lista de comumente usado palavras-passe contra um nome de conta de utilizador, tais como 123456 password123 1qaz2wsx letmein batman e outros.como funciona?

um pouco como recheio de credencial, a idéia básica por trás de senha pulverizando-o para pegar uma lista de contas de usuário e testá-las contra uma lista de senhas. A diferença é que com recheio credencial, as senhas são todas senhas conhecidas para usuários particulares., A aspersão de Password é mais brusca. O infractor tem uma lista de nomes de utilizador, mas não faz ideia da senha. Em vez disso, cada nome de usuário é testado contra uma lista das senhas mais usadas. Este pode ser o top 5, 10 ou 100, dependendo de quanto tempo e recursos o atacante tem. A maioria dos sites irá detectar repetidas tentativas de senha do mesmo IP, então o atacante precisa usar vários IPs para estender o número de senhas que eles podem tentar antes de serem detectados.como pode ficar seguro?

certifique-se de que a sua senha não está na lista das 100 senhas mais usadas.,

Keylogging

Nível de Risco: Médio

Keylogging muitas vezes é uma técnica usada em ataques direcionados, em que o hacker sabe que a vítima (cônjuge, colega, parente) ou está particularmente interessado na vítima (empresa ou estado-nação espionagem). o que é?

Keyloggers gravar os traços que você digita no teclado e pode ser uma forma particularmente eficaz de obter credenciais para coisas como contas bancárias online, Carteiras criptográficas e outras login com formulários seguros.,como funciona?

Keylogging é mais difícil de conseguir do que enchimento credencial, Phishing e pulverização de senha porque primeiro requer acesso ou compromisso da máquina da vítima com malware keylogging. Dito isto, há muitos kits de pós-exploração disponíveis publicamente que oferecem atacantes keyloggers off-the-shelf, bem como ferramentas de spyware comerciais supostamente para monitoramento parental ou empregado. como pode ficar seguro?

você precisa estar executando uma boa solução de segurança que pode detectar infecções keylogging e atividade., Este é um dos poucos tipos de técnicas de roubo de senha onde a força ou singularidade de sua senha realmente não faz diferença. O que conta é o quão bem seu endpoint está seguro contra a infecção, e se seu software de segurança também pode detectar atividade maliciosa se o malware encontra um caminho para além de suas características de proteção.

a Força Bruta

Nível de Risco: Baixo

Surpreendentemente não é tão prevalente como as pessoas tendem a pensar, força-bruta de senhas é um trabalho difícil, demorado e caro para os criminosos. o que é?,

é o tipo de coisa que pesquisadores de segurança gostam de escrever, ou que você pode ver em programas de TV: um hacker executa um algoritmo contra uma senha criptografada e em 3 … 2 … 1 … o algoritmo quebra a senha e revela-a em texto simples.como funciona?

Existem muitas ferramentas como” Aircrack-ng”,” John the Ripper”, e” DaveGrohl ” que tentam forçar senhas. Geralmente há dois tipos de rachaduras disponíveis. O primeiro é alguma forma de ataque “Dicionário” – assim chamado, porque o atacante apenas tenta cada palavra no dicionário como a senha., Programas como os mencionados acima podem executar e testar um dicionário inteiro em questão de segundos. O outro tipo de técnica é usado quando o hacker adquiriu (através de uma violação de dados) o hash da senha de texto simples. Uma vez que estes não podem ser revertidos, o objetivo é hash tantas senhas de texto simples quanto possível e tentar encontrar uma correspondência. Existem tabelas Rainbow que listam os traços das frases-senha comuns para acelerar este processo.,

uma das razões pelas quais a quebra de senha não é uma técnica tão viável como algumas das outras que mencionamos é que senhas criptografadas normalmente usam um sal. Estes são alguns dados aleatórios usados no processo de criptografia que garante que não duas senhas de texto simples irão produzir o mesmo hash. No entanto, os erros cometidos pelos administradores do site ao usar ou armazenar sais e senhas podem tornar possível para algumas senhas criptografadas serem quebradas.como pode ficar seguro?

a chave para ficar seguro contra ataques de Força bruta é garantir que você use senhas de comprimento suficiente., Qualquer coisa com 16 caracteres ou mais deve ser suficiente dada a tecnologia atual, mas idealmente à prova de futuro você mesmo usando uma frase-senha que é tão longo quanto o máximo permitido pelo serviço que você está se inscrevendo. Evite usar qualquer serviço que não lhe permita criar uma senha com mais de 8 ou 10 caracteres. Preocupado com o facto de te lembrares de uma password super longa? Veja a secção de dicas abaixo.,

descoberta Local

nível de risco: baixo

principalmente uma técnica que só seria usada num ataque alvo, seja por um conhecido, parente, colega ou agente da lei.o que é?

a descoberta Local ocorre quando você escreve ou usa sua senha em algum lugar onde ela pode ser vista em texto simples. O atacante Encontra a senha e usa-a, muitas vezes sem o seu conhecimento de que a senha foi vazada. como funciona?,já viste aqueles filmes em que os polícias vasculham o lixo do bandido à procura de pistas sobre o que ele anda a fazer? Sim, mergulhar no lixo é uma forma válida de obter uma senha através da descoberta local. Tem um post-It no monitor, ou um diário na gaveta da secretária com as suas credenciais de Paypal? Existem meios mais secretos de descoberta local, incluindo a detecção de comunicações bluetooth ou encontrar senhas de texto simples em logs ou urls. Surfar no ombro também não é Desconhecido., Isso pode ser qualquer coisa de um colega sub-repticiamente pendurado atrás de sua mesa quando você entrar, para CCTV em cafés e outras áreas públicas que poderiam capturar vídeo de usuários como eles digitar suas credenciais de login em um site em seus laptops.como pode ficar seguro?

não há necessidade de ser paranóico, mas exercite a devida dose de precaução. Enquanto o risco é baixo em geral, se você se tornar o fruto de baixa pendura, deixando registros facilmente descobríveis de sua senha deitada em torno, não se surpreenda se alguém se aproveita disso.,

Extorsão

Nível de Risco: Baixo

Provavelmente o mais baixo na escala de risco, mas não inédito. o que é?alguém exige que lhes dês as tuas credenciais. Sem subterfúgios envolvidos. O acordo é entregares a tua palavra-passe ou eles fazem algo que não vais gostar.como funciona?

uma simples técnica de chantagem que depende da natureza da relação entre o atacante e o alvo., Alguém pode exigir a sua senha se tiver meios para prejudicá-lo ou envergonhá-lo se você não obedecer, tais como revelar informações sensíveis, imagens ou vídeos sobre você, ou ameaçar a segurança física de si mesmo ou de seus entes queridos. Malware de rato que permite aos hackers espiarem – te através de uma web ou Câmara de vídeo pode expor-te a este tipo de extorsão.

como pode ficar seguro?como as vítimas de ransomware estão descobrindo em uma base quase diária, não há regras para lidar com as demandas de extorsão., É uma troca entre o valor do que querem e o valor do mal que podem fazer. Esteja ciente de que, em algumas jurisdições e em certas circunstâncias, ceder a uma exigência de extorsão pode torná-lo passível de acusação nos termos da lei.

as senhas importam?alguns pensam que não, mas sim pensam. Senhas fortes irão proteger o seu de técnicas como pulverização de senha e ataques de Força bruta, enquanto senhas únicas irão proteger o seu de enchimento credencial, garantindo que os danos causados por uma fuga em um site não vai ter impacto negativo em outro lugar.,

dicas para criar senhas fortes e únicas

uma das principais razões pelas quais o recheio credencial e a pulverização de senhas são tão bem sucedidos é porque as pessoas não gostam de criar e lembrar senhas complexas. A boa notícia – que realmente não deve ser notícia porque tem sido verdade por algum tempo-é que os gerentes de senha vai lhe poupar o esforço. Estes são prontamente disponíveis e alguns navegadores até têm sugestões de senha incorporadas. Claro, é verdade que não são infalíveis., Eles normalmente dependem de uma senha mestre que, se comprometida, expõe todos os ovos em seu único cesto. No entanto, as chances de ser vítima de roubo de senha se você usar um gerenciador de senha são significativamente menores em comparação com se você não o fizer. nós sugerimos que os benefícios dos gerenciadores de senha superam enormemente os riscos, e nós os recomendamos como uma prática básica de segurança 101.

Conclusão

Senhas não vão desaparecer a qualquer momento, e até há bons argumentos para sugerir que eles não deveriam., Enquanto os dados biométricos, a digitalização facial e de impressões digitais têm um papel na Ajuda ao acesso seguro aos serviços, a beleza excessiva de uma senha é o “algo que você sabe” e não o “algo que você tem”. O último pode ser retirado de você, em alguns casos legalmente, mas o primeiro não pode, desde que você garanta que é suficientemente complexo, único e secreto. Combine isso com autenticação de dois fatores ou multi-fatores e suas chances de sofrer a perda de dados através de hacking de senha são extremamente baixas e-o que é importante – altamente limitadas., Se um site inseguro vazar suas credenciais, você pode estar confiante de que ele não vai afetá-lo além desse serviço em particular.como este artigo? Siga-nos no LinkedIn, Twitter, YouTube ou Facebook para ver o conteúdo que publicamos.

leia mais sobre Segurança Cibernética

  • O que é o OSINT? (E Como É Usado?profissionais de segurança! 5 maneiras de fazer o seu chefe ouvir as suas necessidades 11 maus hábitos que destroem os seus esforços de segurança cibernética o que é a Caça à ameaça? (E É Realmente Necessário?)
  • esconder o código dentro das imagens: como o Malware usa a esteganografia

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *