Por Isabela Cabral, para o TechTudo


O roubo de dados pessoais é uma prática comum na Internet e bastante lucrativa para hackers criminosos. Há uma boa chance de que algum e-mail e senha seus estejam à venda em um canto obscuro da web. Geralmente, sites com segurança mais fraca são alvos de vazamento de informações confidenciais dos usuários. Então, esses dados são usados para tentar acessar outras plataformas, em que os hackers possam obter algo de valor, como dinheiro, milhas aéreas e mercadorias caras.

Essa técnica é conhecida como credential stuffing. Com as credenciais — combinações de nome de usuário e senha — roubadas em mãos, bandidos usam códigos que executam ataques em massa nos sites de interesse. Muitas pessoas, talvez a maioria, repetem o mesmo login e/ou senha em múltiplos sites. Portanto, não é tão difícil conseguir sucesso nesse tipo de fraude.

Hackers criminosos usam credenciais roubadas para atacar sites — Foto: Carolina Ochsendorf/TechTudo       Hackers criminosos usam credenciais roubadas para atacar sites — Foto: Carolina Ochsendorf/TechTudo

Hackers criminosos usam credenciais roubadas para atacar sites — Foto: Carolina Ochsendorf/TechTudo

Os sites de e-commerce são os que mais sofrem investidas. De acordo com um relatório publicado pela companhia de segurança virtual Shape Security, cerca de 91% do tráfego global nesses serviços em 2017 foi ocupado por ataques de credential stuffing. Em segundo lugar, estão as companhias aéreas, com 61% do tráfego consumido pelas tentativas de login dos hackers. Em seguida, vêm os bancos e hotéis com 58% e 44%, respectivamente.

Estima-se que os ataques dão certo em 3% das vezes. É mais que o suficiente para causar um enorme prejuízo a consumidores e empresas. O setor de e-commerce perde aproximadamente US$ 6 bilhões por ano devido a esses crimes, enquanto os bancos têm prejuízo anual de US$ 1,7 bilhão. As companhias de hotelaria e aviação, em que os ladrões costumam visar a pontos de fidelidade, perdem um total de R$ 700 milhões ao ano.

Fontes de vazamentos

De vez em quando, vem a tona o vazamento de dados em serviços bem grandes e populares, como já aconteceu com o LinkedIn, o Yahoo ou o a Netshoes. Mas os incidentes são frequentes. Só no ano passado, foram reportados mais de 2,3 bilhões de credenciais vazadas de 51 organizações diferentes. Um agravante nessa história é que o comprometimento dos dados costuma demorar a ser anunciado. As ocorrências de 2017, em média, levaram 15 meses até serem descobertas e divulgadas.

Senhas hackeadas são usadas em golpes — Foto:  Divulgação/Facebook Senhas hackeadas são usadas em golpes — Foto:  Divulgação/Facebook

Senhas hackeadas são usadas em golpes — Foto: Divulgação/Facebook

Um dos alvos favoritos dos hackers são os fóruns virtuais. No ano passado registraram-se 13 roubos de informações nessas plataformas e, em 2016, foram 11 ocorrências. Entre eles, aconteceu a violação de um fansite da cantora Lady Gaga, o “Little Monsters”, que impactou mais de 1 milhão de contas que incluíam aniversário, senha e e-mail dos usuários. Serviços online de comunicação e produtividade, mídias sociais e jogos também são vítimas recorrentes.

Como os dados viram dinheiro

Há várias maneiras de lucrar com os sites atacados por credential stuffing. Uma delas é assumir o controle de contas bancárias. Essa é a modalidade preferida dos cibercriminosos nos Estados Unidos. Outro método é comprar produtos que podem ser revendidos com facilidade, como vale-presentes e eletrônicos. Um exemplo curioso revelado pelo relatório é o esquema envolvendo um queijo cheddar que custa mais de US$ 400 por quilo. Os hackers invadem mercados online para comprar o queijo e repassam para restaurantes por dinheiro vivo.

Milhas de voos também se mostram uma opção eficiente para o golpe. Elas não possuem proteção tão sofisticada e os clientes geralmente levam um bom tempo até notarem o problema. Com transações via PayPal, as milhas são vendidas para corretores especialistas, que compram pontos de programas de hotéis e linhas aéreas e os revendem para agências de viagem online.

Como se proteger

Para aumentar a segurança digital e reduzir os impactos das fraudes cometidas por hackers, usuários devem fazer sua parte. O primeiro passo é evitar usar senhas iguais em diversos sites. Tenha cuidado especial com suas contas mais importantes, usando dados de acesso exclusivos pelo menos nelas. Se a dificuldade para guardar tantas palavras-chave é um problema, recorra a um programa gerenciador de senhas.

Site Have I Been Pwned mostra se sua senha já vazou na Internet — Foto: Reprodução/Have I Been Pwned Site Have I Been Pwned mostra se sua senha já vazou na Internet — Foto: Reprodução/Have I Been Pwned

Site Have I Been Pwned mostra se sua senha já vazou na Internet — Foto: Reprodução/Have I Been Pwned

Procure também desativar permanentemente cadastros em serviços que você não utiliza mais. Serão menos informações suas vulneráveis na Internet sem necessidade. Além disso, verifique se suas credenciais já foram comprometidas em algum momento. Há ferramentas com um banco de dados de vazamentos que permitem a consulta, como o Have I Been Pawned.

Como saber a senha do meu roteador Wi-Fi? Tire dúvidas no Fórum do TechTudo.

Como encontrar a senha Wi-Fi de sua rede atual no Windows

Como encontrar a senha Wi-Fi de sua rede atual no Windows

MAIS DO TechTudo