O que é um ataque de login de força bruta (e como evitá-los)?
Publicados: 2022-07-12Os ataques cibernéticos tornaram-se mais sofisticados, com hackers encontrando maneiras cada vez mais inteligentes de roubar dados e acessar sites e bancos de dados. Uma das principais maneiras de um hacker acessar um site é usando um login de força bruta ou ataque de força bruta.
Ataque de força bruta refere-se a um invasor que envia várias senhas na esperança de adivinhar a combinação correta para obter acesso não autorizado aos seus sistemas. O software usado pelo hacker muitas vezes pode proteger a entrada em um site, conta de e-mail ou outro banco de dados em segundos.
É chamado de força bruta porque as tentativas são realizadas vigorosa e continuamente até que o nome de usuário e a senha sejam protegidos. Os ataques de força bruta são meios simples, mas altamente eficazes, de quebrar suas chaves de criptografia e acessar os arquivos que você deseja manter em segredo.
Como funcionam os ataques de força bruta?
Em um nível básico, os logins de força bruta são tão simples quanto adivinhar possíveis senhas. Mas a chave é tentar várias variações até chegar à resposta.
Quanto mais longas forem as senhas possíveis, mais variações você terá que experimentar. Uma senha de 2 dígitos tem 100 possibilidades, enquanto uma senha de cinco dígitos tem 10 bilhões. Além disso, pense no fato de que a maioria das senhas não são apenas dígitos. Eles contêm alfabetos, letras maiúsculas e caracteres especiais. É por isso que as senhas fracas são mais fáceis de adivinhar do que as senhas complexas.
Se você já se perguntou por que os sites insistem que você use senhas complexas, esta imagem pode ajudar a explicar.
Como você pode ver, senhas simples podem ser quebradas usando ataques de força bruta em menos de um segundo. Mas quanto mais complexos eles são, mais tempo demoram para se comprometer.
Portanto, uma das principais formas de evitar ataques de força bruta em seu site é exigir que todos os usuários tenham senhas longas e complexas. Na verdade, a segurança por senha agora é vista como a primeira linha de defesa contra muitas formas de ataque cibernético.
Outro problema é que, devido ao enorme poder de computação necessário, o uso de um bot de força bruta pode aumentar a velocidade da computação e facilitar ainda mais o acesso aos seus sistemas.
Por que as tentativas de força bruta não são sinalizadas?
Existem várias maneiras pelas quais os hackers evitam a detecção durante uma tentativa de login de força bruta.
1. Eles usam vários IPs
Se você tiver muitas tentativas de login com falha como resultado de digitar a senha errada, a maioria dos sistemas solicitará que você espere um pouco e tente novamente ou o bloqueará completamente. Então, por que esses hackers não sofrem o mesmo destino?
As tentativas de login de força bruta são executadas de maneira astuta e sistemática que envolve vários computadores e endereços IP.
Uma tática usada é chamada de ataque distribuído, onde cada IP só tenta adivinhar sua senha um número limitado de vezes, após o que ele para completamente. Outro IP então toma seu lugar.
Agora, multiplique isso em grande escala, com dezenas ou até centenas de bots tentando fazer login de uma só vez, mas nunca tentando o suficiente para acionar um mecanismo de segurança.
2. Eles não estão apenas adivinhando
Durante ataques de força bruta, o hacker age com base em algumas informações disponíveis. Por exemplo, a maioria das pessoas usa a mesma senha em muitas plataformas, portanto, uma violação de dados de outra plataforma é um bom ponto de partida. Isso é conhecido como ataque de força bruta reversa porque um hacker tenta vários nomes de usuário até encontrar um que se encaixe na senha.
Existem também outras táticas. Por exemplo, os hackers podem usar ataques de dicionário em que o hacker executa senhas usando palavras padrão – por exemplo, 'senha', 'admin', 'iloveyou' ou '1234567890'.
Um ataque de dicionário é um método comum de quebrar senhas simples, e que é assustadoramente bem-sucedido e usado com frequência. Os hackers também podem usar ataques híbridos de força bruta que combinam ataques de dicionário com ataques básicos de força bruta.
Exemplos famosos de ataques de força bruta
Alibaba (2015)
Um exemplo famoso de ataque de força bruta é o site TaoBao do Alibaba. Entre outubro e novembro de 2015, a gigante do comércio eletrônico sofreu um ataque de força bruta que passou despercebido pela equipe de segurança. Nesse caso, as tentativas excessivas de login não foram sinalizadas devido ao alto tráfego consistente do TaoBao.
Os relatórios afirmam que as senhas reutilizadas foram responsáveis por algumas das contas comprometidas, pois os hackers reutilizaram credenciais de contas roubadas de outros sites. Os hackers tinham mais de 99 milhões de credenciais de contas para trabalhar e hackearam com sucesso mais de 20 milhões de perfis de contas de usuários.
Clube Nintendo (2013)
O Club Nintendo é um site de membros da comunidade onde os usuários discutem tudo sobre a Nintendo. Em 2013, o site sofreu um ataque de força bruta, onde, após 15 milhões de tentativas, os hackers finalmente invadiram as contas dos usuários.
Felizmente, todas as contas comprometidas foram rapidamente suspensas até que pudessem ser devolvidas aos legítimos proprietários. Relatórios sugerem que o ataque afetou mais de 25.000 membros do fórum.
GitHub (2013)
O Github é sem dúvida o maior exemplo de ataque de força bruta da história. Em 2013, os hacks obtiveram acesso a várias contas de usuários após várias tentativas de quase 40.000 endereços IP exclusivos. Os relatórios sugerem que os hackers usaram informações obtidas de outros vazamentos de dados.
O Github armazena senhas de usuários com segurança e, embora não esteja claro quantas contas foram comprometidas, as estimativas mostram que foram muito poucas.
Qual é o objetivo de um ataque de força bruta?
Os dados do usuário são incrivelmente valiosos em nosso mundo digital. Desde informações de pagamento ou detalhes fiscais, até simplesmente acessar endereços de e-mail e senhas. Estas são as principais razões para ataques de força bruta.
Acesso aos seus dados de usuário
Sites com muitos dados de usuários geralmente são alvos de ataques de força bruta. Uma vez bem-sucedidos, os hackers podem não apenas obter acesso à conta do usuário, mas também podem usar esses detalhes de login em outros sites.
Na verdade, com um banco de dados de detalhes de usuários conhecidos, os hackers podem realizar ataques de força bruta usando esses detalhes coletados em sites da Internet.
Explorar recursos da web
Com hacks específicos, como um login de força bruta no WordPress, o invasor procura usar os recursos do seu site a seu favor. Por exemplo, eles podem querer usar seu site para enviar e-mails de spam e phishing sem o seu conhecimento. Os hackers também podem usar seu site para invadir outros sites porque seu IP provavelmente ainda não está na lista negra.
Outras razões para o login de força bruta no WordPress incluem mineração de criptomoedas ou redirecionamento do tráfego do seu site.
Explorar vulnerabilidades
Os hackers de chapéu branco, geralmente chamados de hackers éticos ou hacktivistas, não têm nenhuma intenção maliciosa. Em vez disso, eles testam a força da segurança de um sistema para eliminar vulnerabilidades e denunciá-las. Assim, um hacker de chapéu branco pode realizar um ataque de força bruta em sites como parte de uma verificação de segurança.
Como evitar um ataque de força bruta?
Como a maioria dos elementos de segurança cibernética, a prevenção de ataques de força bruta pode ser feita com várias etapas simples.
Use senhas complexas
8 em cada 10 violações de dados confirmadas são devido a senhas fracas ou roubadas – os ataques de dicionário mencionados anteriormente. Portanto, um ótimo lugar para começar é garantir que suas senhas sejam:
- Forte (uma combinação de letras, números e caracteres especiais)
- Único em todas as plataformas
- Mais de 12 caracteres
Ataques de força bruta automatizados usando senhas comuns podem entrar em um site ou conta de usuário em segundos.
Limitar logins a endereços IP específicos
Restringir o acesso de determinados endereços IP ao seu site também pode desencorajar ataques de força bruta. Muitos bancos de dados de segurança têm registros de endereços IP de bots de força bruta. Ao bloquear esses endereços IP, os hackers precisam trabalhar muito para acessar seu site com sucesso.
Uma maneira de fazer isso é configurar uma porta de acesso remoto para um endereço IP estático. Você também pode configurar uma VPN.
Usar autenticação de dois fatores
A autenticação de dois fatores é frequentemente considerada a primeira linha de defesa contra ataques de força bruta. Eles garantem que os hackers não possam acessar seus dados com apenas um nome de usuário e senha. Eles também precisariam do seu smartphone ou cliente de e-mail.
Monitore os logs do seu servidor
Ficar de olho nos logs do servidor é uma maneira mais proativa de proteger seu site contra ataques de força bruta. Os logs registram todas as tentativas de login com falha e, analisando-as, você pode identificar atividades suspeitas.
Use ferramentas como o Logwatch para realizar verificações diárias e gerar relatórios que você pode interpretar facilmente.
Impedir a atividade de bot em seu site
Como os ataques de força bruta geralmente são realizados por bots automatizados, bloquear essa forma de tráfego é uma das maneiras mais eficazes de evitá-los.
Bot Zapping da ClickCease bloqueia o tráfego de bots em sites WordPress. Isso significa que ataques cibernéticos, como spam de SEO, ataques DDoS e ataques de força bruta, são evitados de forma proativa e em tempo real.
Se você executar um site com um banco de dados de usuários, função de checkout ou mesmo se gerenciar um site de alto tráfego, considere bloquear o tráfego de bot como um recurso de segurança essencial.
Além do ataque de força bruta
Embora um ataque de força bruta possa ser prejudicial por vários motivos, as ameaças ao seu negócio online são muitas e variadas. E, como mencionado acima, muitas vezes se resume a bots.
Bots ruins conduzem a maioria das atividades maliciosas e prejudiciais na internet. Portanto, cuidar da segurança da rede e impedir que bots de qualquer tipo obtenham acesso ao seu site significa que você pode estar protegido contra:
- Violações de dados e os danos resultantes à sua reputação
- Danos à infraestrutura do seu site, como instalação de malware ou injeção de conteúdo
- Site colocado offline em ataques DDoS ou ransomware
- Fraude de cliques e fraude de anúncios danificando suas campanhas de anúncios pagos
Bot Zapping da ClickCease é um novo produto que faz parte do nosso kit de ferramentas antifraude para profissionais de marketing. Atualmente funciona apenas para sites WordPress, embora os sites WordPress representem 40% da internet.
Os usuários existentes do ClickCease podem executar um mês grátis de Bot Zapping para ver como funciona.
Novos usuários podem se inscrever para uma avaliação gratuita para realizar uma auditoria de tráfego em seus sites.