Cibersegurança: protege as tuas palavras-passe dos hackers

As maneiras mais comuns de hackers roubarem palavras-passe. Como te podes proteger?
Escrito por Samuel Pinto e
8 mins de leitura
Imagem de Gerd Altmann por Pixabay
Publicidade
Publicidade

Nos últimos tempos têm sido noticiados vários ataques de hackers (piratas informáticos) a empresas de telecomunicações, entidades bancárias, empresas de transportes, comunicação social, entretenimento entre muitas outras empresas e particulares. A questão pertinente é: será assim tão fácil os criminosos roubarem dados de forma tão descarada às grandes empresas e outros grupos?

Não! No entanto, os hackers têm consigo estratégias testadas e comprovadas para obterem palavras-passe e por consequência dados importantes. Na realidade, relatórios indicam claramente que cerca de metade dos ataques informáticos perpetrados por hackers correspondem a palavras-passe (credenciais de acesso) roubadas. Tendo em conta este dado relevante, conhece as táticas mais comuns que os hackers usam e o que podes fazer para te proteger deles.

Ataques de engenharia social e phishing

Este tipo de ataque é bastante recorrente por parte dos piratas informáticos. Numa análise mais redutora, a engenharia social é uma tática usada por criminosos virtuais de forma a manipularem e instigarem utilizadores com pouco conhecimento informático a enviarem os seus dados confidenciais, ou então, a infectarem os seus computadores ou smartphones com malware, levando-os a abrir links para sites infectados.

Os invasores enganam os utilizadores para que partilhem as suas palavras-passe, detalhes de pagamentos ou outras informações confidenciais, fazendo-se passar por alguma instituição de confiança ou até mesmo alguma autoridade. Em Portugal é muito recorrente utilizadores receberem mensagens ou e-mails falsos de alegados bancos, empresas de distribuição, etc.

Regra geral, os criminosos informáticos enviam um e-mail ou uma mensagem de texto fazendo-se passar por representantes de apoio ao cliente, agentes de suporte técnico ou de qualquer outro departamento que chame a atenção da potencial vitima, e na maior parte das vezes pedem às potenciais vitimas para abrirem um link malicioso.

Essa ação faz com que a vitima seja encaminhada para um site falso, mas que aparenta ser autêntico e induzi-la a inserir as suas credenciais de acesso como nome de utilizador e a respetiva palavra-passe. Esta é a receita eficaz para que o hacker criminoso consiga acesso à tua conta real, seja do banco, do e-mail, das redes sociais ou outros serviços.

Os criminosos têm como principal alvo as grandes corporações e empresas ao invés de particulares. Todavia, as técnicas usadas para enganar os funcionários são semelhantes. A ideia é enganar os colaboradores de forma a que forneçam acesso a funcionalidades internas que contenham palavras-passe e outros dados privados. Independentemente do alvo, o objetivo do invasor é induzir uma pessoas a fornecer credenciais de acesso ou outras informações confidenciais.

Fugas de palavras-passe

Para economizar tempo e dinheiro, os hackers geralmente executam ataques em grande escala de forma a visarem pessoas em massa, usando as informações de contacto que escaparam em violações de dados anteriores e que estão compiladas em grandes bancos de dados.

Esses detalhes permitem que eles lancem grandes ataques de phishing para obter mais informações, enviando centenas, milhares ou eventualmente milhões de e-mails falsos ou mensagens de texto de forma contínua, ou em alguns casos, até mesmo fazendo chamadas telefónicas fraudulentas.

É raro os hachers criminosos (sim, nem todos os hackers são criminosos) sentarem-se em frente aos seus computadores e diligentemente tentarem palavras-passe diferentes para invadirem a conta ou serviços de alguém. Em primeiro lugar, isso é muito demorado e em segundo lugar, a maioria dos serviços são bloqueados após algumas tentativas de login falhadas.

Portanto, os hackers criminosos tentarão invadir contas de utilizadores que já viram as suas credenciais de acesso divulgadas online. Só a título de exemplo, imagina que as credenciais de acesso a um site online foram divulgadas numa fuga de informação. A maioria dos utilizadores costuma usar as mesmas credenciais para outros acessos ou serviços, então, os cibercriminosos estão conscientes de que essas credenciais divulgadas numa fuga online, também podem ser usadas para aceder a outras contas online. Essa técnica é chamada de preenchimento de credenciais e é muito mais eficaz do que simplesmente tentar adivinhar palavras-passe aleatórias.

Ataques de dicionário e reversão hash

Um ataque de dicionário é uma tentativa de invadir uma conta, dispositivo ou redes protegidas por senha através da força bruta, testando palavras comuns, frases, ou palavras-passe divulgadas anteriormente numa lista predefinida. Ao invés de tentar todas as combinações de palavras-passe possíveis, os ataques de dicionário permitem aos criminosos se concentrarem apenas em soluções que ofereçam uma maior hipótese de sucesso.

Os criminosos executam ataques de dicionário para operar senhas populares e previsíveis por meio de algoritmos de hash frequentemente usados. Os invasores geralmente usam estes ataques de dicionário por força bruta e assim romper palavras-passe divulgadas numa fuga, ainda que estivessem encriptadas.

Para perceberes melhor: ao criares uma nova conta online, o desenvolvedor/programador da aplicação ou site, geralmente protege a tua palavra-passe por meio de hash. Em termos muito simplórios, o hash é um algoritmo matemático usado para encriptar dados. Isso significa que cada credencial de login é executada por meio de um algoritmo unidirecional.

Uma empresa tem as palavras-passe dos seus utilizadores encriptadas, contudo, um criminoso conseguiu de alguma forma invadir seus servidores. O que eles encontrariam seria apenas um banco de dados de palavras-passe sem sentido, em vez de senhas utilizáveis. Por exemplo, uma palavra-passe "samuel" poderia ser um hash em algo como d8ae5776067290c4712fa454006c8ec6.

Ainda que seja difícil reverter um hash e revelar a palavra-passe original, há hackers que por vezes conseguem essa proeza. Um criminoso pode usar um ataque de dicionário para executar senhas populares e previsíveis por meio dos algoritmos de hash frequentemente usados ​​e ver se o resultado do hash está no banco de dados divulgados numa fuga. Estão disponíveis para pesquisa, palavras-passe comuns e os seus resultados em hash, para que os hackers criminosos possam verificar com toda a facilidade se algumas delas corresponde às que eles conseguiram obter por meio de uma fuga de dados.

Outras técnicas usadas pelos hackers criminosos

Embora os três tópicos supracitados sejam as táticas mais comuns usadas pelos cibercriminosos, a verdade é que existem outras técnicas que os hackers usam para tentarem roubar as tuas palavras-passe e outras informações privadas.

  • Malware - O principal proposito do malware é bloquear sistemas ou destruir arquivos específicos, todavia, os cibercriminosos têm a capacidade de criar um malware keylogging que é capaz de rastrear o que digitas no teclado e dessa forma roubar os teus nomes de utilizador e as respetivas palavras-passe.
  • Extorsão - Os hackers criminosos às vezes usam a extorsão em forma de chantagem para que os utilizadores lhes forneçam informações. Enviam um e-mail onde alegam ter informação ou conteúdo confidencial e ameaçam enviar essas alegadas informações para familiares, amigos ou colegas de trabalho, a menos que forneças o que eles pedem. Geralmente os criminosos pedem um pagamento em dinheiro ou criptomoedas, mas também podem pedir a palavra-passe de alguma conta valiosa.

Um gestor de palavras-passe mantém-te mais seguro

Com uma panóplia de técnicas e táticas disponíveis, os cibercriminosos tentam invadir contas de milhões de utilizadores à escala mundial. Mas com um gestor de palavras-passe é possível protegeres tudo o que é importante na tua vida digital, como as palavras-passe.

  • Cria nomes de utilizador e palavras-passe fortes e únicas - Um desses gestores de palavras-passe é o 1Password que te ajudará a criares nomes de utilizador e palavras-passe diferentes e exclusivas para todas as tuas contas online. Ter credenciais fortes e diferentes para cada conta protege-as contra ataques de força bruta e ainda garante que os cibercriminosos não possam usar as tuas credenciais divulgadas online para aceder a outras contas em teu nome.
  • Evita campos de logins falsos - Outra preciosa ajuda do 1Password é a capacidade de evitares colocares as tuas credenciais num site fraudulento. Ao criares ou atualizares as tuas palavras-passe com recurso ao 1Password, o endereço do site será guardado junto com as credenciais da tua conta. Dessa forma, o 1Password sabe quando e onde pode preencher automaticamente as tuas informações de login.

Se porventura clicaste acidentalmente num link malicioso ou visitaste um site fraudulento projetado apara roubar as tuas informações, irás notar que o 1Password não te oferecerá o preenchimento automático da palavra-passe porque o endereço do site ou o URL não corresponde ao verdadeiro. Dessa forma conseguirás perceber que é um site falso e poderás fechá-lo antes de digitares a tua palavra-passe.

  • Usa a autenticação em dois fatores (2FA) - Outro recurso importante é a ativação da autenticação em dois fatores em todos os serviços onde for oferecido, de forma a adicionares uma segunda camada de segurança às tuas contas. Ainda que caias num ataque de engenharia social e reveles o nome de utilizador e a respetiva palavra-passe, com a autenticação em dois fatores ativa, o cibercriminoso não conseguirá fazer login na conta.

Também podes usar o 1Password para te autenticares em sites e aplicações compatíveis com a autenticação em dois fatores. Na prática, não precisas de abrir o teu e-mail ou a aplicação de autenticação para entrares nas tuas contas online, pois o 1Password preencherá automaticamente esses códigos em qualquer browser.

  • Sabe quando precisas de alterar ou atualizar as palavras-passe - Uma funcionalidade muito útil do 1Password é o recurso Watchtower que emitirá alertas de segurança automáticos onde identifica possíveis ameaças antes que aconteçam. O Watchtower avisa sobre palavras-passe fracas, reutilizadas ou comprometidas para que possas alterá-las imediatamente. Também receberás um alerta se alguma das tuas credenciais for exposta numa violação de dados.

Outras formas de te protegeres

  • Mantém tudo atualizado - Mantém todos os teus dispositivos eletrônicos e o seu respetivo software atualizado. Atualiza os teus equipamentos para a versão mais recente do sistema operativo, bem como todas as aplicações. Isso garante que tens os recursos e adições de segurança mais recentes.
  • Verifica os alertas sobre tentativas de login incomuns - Muitos serviços enviam um e-mail ou notificações se detetarem uma tentativa de login suspeita. Abre o alerta num dispositivo confiável e se opção de bloquear a tentativa de fazer login estiver disponível, bloqueia-a, mantendo a tua conta e os dados seguros. Altera a palavra-passe antes que o criminoso tente aceder novamente.
  • Fica atento aos detalhes - Se suspeitares que estás a ser vitima de ataques informáticos deves fazer as seguintes questões: conheço o remetente do e-mail? O meu banco pede informações privadas por telemóvel ou por e-mail? Caso tenhas dúvidas verifica se a mensagem ou o e-mail são autênticos ou entra em contacto direto com as instituições visadas.

Em conclusão, é um desafio lidar com todos os tipos de ataque informáticos por parte dos cibercriminosos. Ainda assim, podes manter as tuas palavras-passe e outras informações privadas seguras sem grande stress e complicações. Com todos os cuidados supracitados e um bom gestor de palavras-passe como o 1Password, é possível protegeres toda a tua vida digital sem grandes complicações.

E tu, usas algum gestor de palavras-passe? Fica atento às dicas do iFeed nesta página dedicada.

Publicidade
Publicidade
Partilhar artigo