NOVA YORK – A procuradora-geral de Nova York, Letitia James, anunciou hoje os resultados de uma investigação abrangente sobre “preenchimento de credenciais” que descobriu mais de 1,1 milhão de contas online comprometidas em ataques cibernéticos em 17 empresas conhecidas. O procurador-geral James lançou um “Guia comercial para ataques de preenchimento de credenciais” que detalha os ataques – que envolvem tentativas repetidas e automatizadas de acessar contas online usando nomes de usuário e senhas roubados de outros serviços online – e como as empresas podem se proteger. O preenchimento de credenciais tornou-se rapidamente um dos principais vetores de ataque online. Praticamente todos os sites e aplicativos usam senhas como forma de autenticar seus usuários. Infelizmente, os usuários tendem a reutilizar as mesmas senhas em vários serviços online. Isso permite que os cibercriminosos usem senhas roubadas de uma empresa para outras contas online. Após a descoberta dos ataques, a Procuradoria-Geral da República (OAG) alertou as empresas relevantes para que as senhas fossem redefinidas e os consumidores pudessem ser notificados. O guia de hoje compartilha as lições aprendidas ao longo da investigação do OAG, incluindo orientações concretas sobre as medidas que as empresas podem tomar para se proteger melhor contra ataques de preenchimento de credenciais.
“No momento, existem mais de 15 bilhões de credenciais roubadas circulando pela Internet, pois as informações pessoais dos usuários estão em risco”, disse o procurador-geral James. “As empresas têm a responsabilidade de tomar as medidas apropriadas para proteger as contas online de seus clientes e este guia apresenta salvaguardas críticas que as empresas podem usar na luta contra o preenchimento de credenciais. Devemos fazer tudo o que pudermos para proteger as informações pessoais dos consumidores e sua privacidade”.
O que é Preenchimento de Credenciais?
O preenchimento de credenciais é um tipo de ataque cibernético que envolve tentativas de login em contas online usando nome de usuário e senhas roubadas de outros serviços online não relacionados. Baseia-se na prática generalizada de reutilização de senhas, pois, provavelmente, uma senha usada em um site também foi usada em outro.
Em um ataque típico de preenchimento de credenciais, um invasor pode enviar centenas de milhares, ou mesmo milhões, de tentativas de login usando software automatizado de preenchimento de credenciais e listas de credenciais roubadas baixadas da dark web ou fóruns de hackers. Embora apenas uma pequena porcentagem dessas tentativas seja bem-sucedida, devido ao grande volume de tentativas de login, um único ataque pode gerar milhares de contas comprometidas.
Um invasor que obtém acesso a uma conta pode usá-la de várias maneiras. O invasor pode, por exemplo, visualizar informações pessoais associadas à conta, incluindo nome, endereço e compras anteriores, e usar essas informações em um ataque de phishing. Se a conta tiver um cartão de crédito ou cartão-presente armazenado, o invasor poderá fazer compras fraudulentas. Ou o invasor pode simplesmente vender as credenciais de login para outro indivíduo na dark web.
O preenchimento de credenciais é uma das formas mais comuns de ataque cibernético. A operadora de uma grande rede de entrega de conteúdo relatou que testemunhou mais de 193 bilhões de ataques desse tipo apenas em 2020.
Investigação do OAG
À luz da crescente ameaça de preenchimento de credenciais, o OAG iniciou uma investigação para identificar empresas e consumidores afetados por esse vetor de ataque. Durante um período de vários meses, o OAG monitorou várias comunidades online dedicadas ao preenchimento de credenciais. O OAG encontrou milhares de postagens que continham credenciais de login de clientes que os invasores testaram em um ataque de preenchimento de credenciais e confirmaram que poderiam ser usadas para acessar contas de clientes em sites ou aplicativos. A partir dessas postagens, o OAG compilou credenciais para contas comprometidas em 17 varejistas on-line, redes de restaurantes e serviços de entrega de alimentos conhecidos. Ao todo, o OAG coletou credenciais de mais de 1,1 milhão de contas de clientes, todas aparentemente comprometidas em ataques de preenchimento de credenciais.
O OAG alertou cada uma das 17 empresas sobre as contas comprometidas e instou as empresas a investigar e tomar medidas imediatas para proteger os clientes afetados. Todas as empresas o fizeram. As investigações das empresas revelaram que a maioria dos ataques não havia sido detectada anteriormente.
O OAG também trabalhou com as empresas para determinar como os invasores contornaram as proteções existentes e forneceu recomendações para fortalecer seus programas de segurança de dados para proteger melhor as contas dos clientes no futuro. Ao longo da investigação do OAG, quase todas as empresas implementaram ou fizeram planos para implementar salvaguardas adicionais.
Recomendações do OAG
Os ataques de preenchimento de credenciais tornaram-se tão comuns que são, para a maioria das empresas, inevitáveis. Toda empresa que mantém contas de clientes on-line deve, portanto, ter um programa de segurança de dados que inclua salvaguardas eficazes para proteger os clientes contra ataques de preenchimento de credenciais. As salvaguardas devem ser implementadas em cada uma das quatro áreas:
- Defendendo-se contra ataques de preenchimento de credenciais,
- Detectando uma violação de preenchimento de credenciais,
- Prevenindo fraude e uso indevido de informações do cliente e
- Respondendo a um incidente de preenchimento de credenciais.
O guia do procurador-geral James apresenta salvaguardas específicas que foram consideradas eficazes em cada uma dessas áreas. Alguns destaques do guia incluem o seguinte:
Este assunto foi tratado pelo Conselheiro Sênior de Execução Jordan Adler, Procuradora-Geral Adjunta Hanna Baek, Analista de Internet e Tecnologia Joe Graham e Assistente Jurídico Richard Borgia - todos do Bureau of Internet and Technology, sob a supervisão do Subchefe do Bureau Clark Russell e o chefe do Bureau, Kim Berger. O Bureau of Internet and Technology faz parte da Divisão de Justiça Econômica, que é supervisionada pelo vice-procurador-geral Chris D'Angelo e pela primeira-deputada Jennifer Levy.