BLOG

Como contas online são assumidas por criminosos cibernéticos

Miniatura de Frank Kyei-Manu
Frank Kyei-Manu
Publicado em 18 de outubro de 2022

Uma amiga compartilhou recentemente uma história sobre um jogo que ela jogava com a família quando criança. Durante as viagens, eles tentavam adivinhar de onde eram as pessoas nos outros carros. Seus palpites eram baseados em informações limitadas — na melhor das hipóteses, o estado em uma placa de carro ou adesivos de para-choque.

Hoje, por outro lado, nossas informações pessoais são extremamente fáceis de encontrar em nossos ativos digitais, e ficou mais fácil para criminosos acessá-las por meio de táticas de engenharia social, como phishing e smishing.

A psicologia de um cibercriminoso

O crime cibernético, como a maioria dos crimes, começa com uma noção de MOM, ou seja, Meios, Oportunidade e Motivo. É importante entender a psicologia de um cibercriminoso e o que o leva a cometer fraudes cibernéticas:

  • Significa: A capacidade, as ferramentas e os meios para cometer crimes são abundantes. Agora, mais do que nunca, os criminosos não precisam ser especialistas sofisticados para cometer fraudes, graças a um excedente de ferramentas e serviços gratuitos que eles podem usar.
  • Oportunidade: Há muitos alvos em potencial. A crescente economia de aplicativos, com tudo se tornando digitalizado, desde dinheiro até registros pessoais de saúde, significa que os cibercriminosos têm chances e alvos suficientes para cometer fraudes.
  • Motivo: Normalmente, mas nem sempre, o motivo é financeiro.

Suponha que você está sob ataque

Em geral, suponha que todos os aplicativos voltados ao consumidor e contas digitais que você controla serão atacados mais cedo ou mais tarde. Isso acontece até mesmo com as contas mais bem protegidas, porque os invasores se tornaram hábeis em abusar da lógica do aplicativo para cometer fraudes.

Vencer os cibercriminosos exige trabalho em equipe. A equipe inclui titulares de contas individuais e desenvolvedores de aplicativos de instituições, equipes de fraude e equipes de segurança. A abordagem correta também requer um esforço coletivo dos indivíduos que usam esses aplicativos e das empresas que os criam, e deve começar com equipes de segurança e fraude convergindo suas defesas contra ameaças automatizadas de aplicativos para interromper ataques de bots no início, o que evitará fraudes no final.

Os bots são uma faca de dois gumes

A automação, por si só, é uma coisa boa. Os bots automatizam tarefas repetitivas, ajudam as empresas a envolver os clientes e a criar afinidade com a marca. Por exemplo, você pode ter interagido com um chatbot de atendimento ao cliente para receber respostas em tempo real às suas dúvidas.

No entanto, nas mãos erradas, bots e automação são ferramentas poderosas que podem ser usadas para realizar ataques maliciosos, como preenchimento de credenciais para assumir o controle de contas e cometer fraudes.

Normalmente, ataques de preenchimento de credenciais aproveitam credenciais roubadas anteriormente e as testam em vários domínios. Esses ataques aproveitam o fato de que nomes de usuários e senhas são comumente reutilizados em muitos aplicativos.

De fato, um relatório recente mostra que os funcionários reutilizam as senhas 13 vezes em média. Além disso , mesmo quando os consumidores são notificados de que suas contas foram violadas, apenas cerca de um terço altera suas senhas.

Os cibercriminosos aproveitam essas fraquezas para cometer muitos tipos de fraude, incluindo:

  • Fraude financeira: Os invasores usam informações pessoais roubadas para abrir ou acessar uma conta em nome da vítima para roubar seu dinheiro. Essas contas também podem dar suporte a outras atividades criminosas, como lavagem de dinheiro.
  • Fraude no varejo: Os invasores usam informações pessoais roubadas para fazer compras em lojas de varejo ou em sites de comércio eletrônico , acumular estoque e roubar cartões-presente com saldo positivo.
  • Fraude em hospitalidade: Esse tipo de fraude geralmente tem como alvo programas de viagens e fidelidade de clientes . Os invasores usam serviços fraudulentos de viagem ou hospitalidade para coletar suas credenciais e informações de identidade para outros usos. Eles também usam pontos de fidelidade, milhas aéreas e pontos de recompensa coletados anteriormente para reservar serviços de viagem para si próprios ou para outras pessoas.

O problema dos ataques de credenciais

Ataques de credenciais baseados em identidade são a principal fonte de ataques automatizados na web que levam à fraude. Informações de identidade estão prontamente disponíveis para compra em fóruns sobre crimes cibernéticos. Listas podem ser encontradas e compradas em algumas plataformas de mídia social.

Credenciais novas, como aquelas roubadas nos últimos um ou dois dias, são mais valiosas e custam mais para os criminosos cibernéticos comprarem. Credenciais obsoletas são menos valiosas porque suas chances de sucesso são muito menores. Como credenciais valiosas e informações pessoais identificáveis são obtidas por meio de violações de contas externas, esses ataques são difíceis de identificar e interromper.

Vamos analisar um exemplo. Depois que as credenciais são roubadas ou adquiridas, os criminosos cibernéticos usam bots ou outras ferramentas automatizadas para tentar criar ou acessar contas. Milhares (ou até milhões) de tentativas podem ser feitas. A taxa de sucesso de ataques baseados em credenciais oscila entre 0,2% e 2% . Embora essas porcentagens possam parecer pequenas, os ataques de credenciais não precisam de uma alta taxa de sucesso porque bilhões de credenciais estão disponíveis gratuitamente ou a um custo nominal.

Imagine atingir um milhão de contas e obter uma taxa de sucesso entre 2.000 e 20.000. Esse é um número impressionante!

Prevenção de apropriação indébita de contas e fraude

É importante entender que cada uma dessas atividades criminosas são elos de uma cadeia de eventos. ‘O Ciclo de Ataque Industrializado’ (veja a figura abaixo) ilustra elementos críticos no ecossistema. Infelizmente, este é um ecossistema grande e resiliente, por isso é fundamental que indivíduos e organizações estejam vigilantes para proteger a si mesmos, seus clientes e seus parceiros de negócios.

Como indivíduos, precisamos aprender a identificar ataques de phishing potencialmente prejudiciais, usar senhas extraordinariamente fortes e limitar a reutilização de senhas em contas diferentes.

Ao mesmo tempo, as equipes de segurança e fraude precisam trabalhar juntas para frustrar coletivamente o ciclo de vida de ataques industrializados.

Assista ao vídeo abaixo para saber como a F5 ajuda as organizações a se protegerem contra fraudes cibernéticas.
 

Fique ligado na postagem final do nosso blog em quatro partes para o Mês de Conscientização sobre Segurança Cibernética, que explora APIs e por que elas podem ser um problema de segurança. Além disso, não deixe de ler nossas postagens anteriores no blog, Como os aplicativos modernos são criados e implantados e Como os criminosos exploram aplicativos com ataques .