Um único clique em um e-mail de redefinição de senha aparentemente rotineiro pode entregar o acesso de toda a empresa a cibercriminosos. É o que mostra um levantamento que descreve o ciclo completo de comprometimento de credenciais, da captura de logins ao lucro em mercados clandestinos, onde cada conjunto de usuário e senha pode ser vendido por cerca de US$ 15.
Ciclo de comprometimento
Segundo o estudo, o processo se desenvolve em cinco estágios:
1. Criação de credenciais: funcionários gerenciam dezenas de logins diferentes, o que leva à reutilização ou a variações mínimas de senhas.
2. Comprometimento: dados de acesso são obtidos por phishing, força bruta, violações de terceiros ou chaves de API expostas.
3. Agregação e venda: credenciais furtadas vão para enormes bases de dados e são vendidas ao maior lance.
4. Distribuição e teste: compradores espalham os logins em redes criminosas; bots verificam milhões de combinações por hora.
5. Exploração ativa: com o acesso validado, invasores elevam privilégios, roubam dados ou instalam ransomware, muitas vezes sem detecção por dias ou semanas.
Principais vetores de ataque
- Campanhas de phishing: mensagens falsas com logotipos corporativos enganam até usuários cuidadosos.
- Credential stuffing: mesmo com taxa de sucesso de 0,1%, o volume de testes automatizados torna o método eficaz diante da reutilização de senhas.
- Incidentes em terceiros: senhas vazadas em serviços como LinkedIn são reaproveitadas em outras plataformas corporativas.
- Chaves de API expostas: bots monitoram repositórios públicos para capturar credenciais em minutos.
Ecossistema criminoso
O mercado negro de credenciais envolve vários perfis: fraudadores oportunistas interessados em saques rápidos, botnets que realizam ataques em escala, marketplaces que funcionam como “eBay” do cibercrime e grupos de crime organizado que mantêm o acesso por meses para planejar ações de alto impacto.
Impacto nas empresas
Com credenciais válidas, invasores podem:
Imagem: Internet
- Realizar tomada de conta e ler e-mails corporativos;
- Avançar lateralmente, transformando um acesso em dezenas;
- Roubar dados sensíveis, como bases de clientes e segredos comerciais;
- Explorar recursos da nuvem para mineração de criptomoedas ou envio de spam;
- Implantar ransomware, exigindo resgate para descriptografar arquivos.
Além dos danos diretos, as organizações ainda podem enfrentar multas regulatórias, processos judiciais e perda de reputação.
Medidas imediatas
O relatório recomenda localizar credenciais já expostas antes que sejam usadas. Ferramentas como o Credential Checker, da Outpost24, permitem verificar gratuitamente a frequência com que o domínio de e-mail de uma empresa aparece em repositórios de vazamento ou em mercados clandestinos, sem exigir cadastro nem exibir senhas.
Com informações de The Hacker News
