Temos uma notícia ruim: muita gente por aí está interessada nas suas senhas. E há diversos motivos para isso… E, claro, nenhum desses motivos é bom. Neste artigo, analisaremos os tipos de agentes mal-intencionados que querem as suas senhas, por que eles têm interesse nelas, como eles as conseguem e o que você pode fazer para minimizar o impacto caso uma senha sua caia em mãos erradas.
Vamos dividir os agentes em três grupos principais: Estados-nações, criminosos cibernéticos e agentes internos mal-intencionados. Veremos que os motivos variam muito entre esses grupos, mas que, no fim das contas, o objetivo principal é o mesmo: ter acesso a dados e/ou sistemas sensíveis.
Estados-nações
É o jeito chique de dizer “governos” no mundo cibernético (e nas áreas de ciência política e relações internacionais). Os Estados-nações têm interesses em senhas para terem acesso a sistemas, informações ou ambos. Com esse acesso, eles podem roubar informações, invadir sistemas ou, em casos relativamente raros, destruir dados e/ou sistemas de forma permanente. Essa última hipótese pode ter consequências catastróficas, particularmente, se os dados ou sistemas estiverem relacionados à infraestrutura, por exemplo, desligar a malha elétrica de um país ou região.
Criminosos cibernéticos
Aqui, o nome é claro. O motivo também é fácil: esses criminosos querem dinheiro. As senhas geram duas fontes de receita para os criminosos: pela venda (credenciais de login custam, em média, US$ 10 na dark web) ou por dar acesso a contas ou sistemas que geram dinheiro de diversas formas, por exemplo ransomware, exfiltração de dados e extorsão, ou, no caso de contas financeiras, saque direto das contas.
Agentes internos mal-intencionados
Embora esse termo também se aplique a quem esquenta brócolis ou peixe no micro-ondas do refeitório da empresa, não é desse pessoal que estamos falando. Aqui, agentes internos mal-intencionados são colegas que têm a intenção de prejudicar a empresa abusando do acesso à rede. Talvez eles queiram a sua senha só para usar a sua conta em atividades escusas, fazendo parecer que você é a pessoa culpada e complicando as investigações do caso. Esses agentes também podem querer a sua senha porque você tem acesso a outras partes da rede da empresa, como dados financeiros sensíveis, por exemplo, e acesso a sistemas de controle industriais que poderiam causar acidentes.
Como cada um desses agentes consegue as suas senhas?
Há alguns pontos em comum na forma como essas categorias de agentes mal-intencionados podem tentar conseguir suas senhas: por um malware comoditizado que eles compram na internet ou comprando suas credenciais diretamente na dark web. Também há algumas diferenças entre esses agentes e os métodos que eles podem usar para conseguir suas senhas. Vejamos quais são essas diferenças.
Os Estados-nações têm vantagens quando o assunto é treinamento e recursos (ou seja, pessoas e dinheiro), portanto, eles têm mais opções. Eles costumam desenvolver um malware específico, muitas vezes tirando proveito de vulnerabilidades novas ou ainda não reveladas em softwares, para ter acesso a dispositivos ou redes e exfiltrar senhas. Os Estados-nações também podem ter uma pessoa específica como alvo e criar uma estratégia certeira de e-mails de spear phishing para induzi-la a entregar sua senha sem saber. Outra possibilidade é ter como alvo um prestador de serviços, como um provedor de nuvem, para ter acesso a diversas contas e credenciais ao mesmo tempo.
Já os criminosos cibernéticos, como é de se esperar, têm uma abordagem mais empreendedora. Alguns grupos se concentram principalmente em obter senhas por infostealers ou e-mails de phishing para vender essas credenciais na dark web (para saber mais sobre os infostealers, leia
este post). Outros aproveitam malwares criados por outros grupos que montam kits de phishing ou infostealers para serem vendidos como um serviço, da mesma forma como muita gente compra softwares para o escritório. Esses produtos de malware como serviço (MaaS, na sigla em inglês) são desenvolvidos para que pessoas com pouco conhecimento técnico consigam configurar e implementar campanhas de phishing ou malware com facilidade por meio de uma interface clara.
No caso dos agentes internos mal-intencionados, há uma vantagem em relação às outras duas categorias porque eles já têm acesso aos escritórios e redes. Essas pessoas podem vasculhar mesas em busca de senhas anotadas ou examinar minuciosamente pastas compartilhadas da rede para ver se alguém armazenou senhas em um site do SharePoint ou outra área de acesso comum. Repositórios de código também são alvos da atenção desses agentes que buscam senhas em códigos-fonte para conseguir acesso ilícito para causar algum tipo de dano para a empresa e/ou colegas de trabalho.
O que você pode fazer para minimizar os danos?
Nenhuma surpresa por aqui: use um gerenciador de senhas. Você só precisa se lembrar de uma senha mestre, pode criar e armazenar senhas complexas e únicas com facilidade para cada uma das suas contas e, caso uma senha sua fique exposta em uma violação de dados, é fácil gerar uma senha nova. O LastPass também oferece monitoramento gratuito de credenciais para os clientes. Caso você ative o monitoramento da dark web, nosso serviço passa a monitorar de forma contínua um banco de dados de credenciais vazadas e envia alertas para que você possa tomar providências para se proteger. Ter uma senha exclusiva para cada conta também minimiza o dano caso suas credenciais fiquem expostas e limita o que um agente mal-intencionado consegue fazer caso pegue sua senha. Hoje, é só uma questão de tempo para as suas credenciais serem expostas. Então, é melhor se preparar para quando isso acontecer – e nós podemos ajudar a resolver!