Alerta sobre ataques de phishing para contornar a autenticação de dois fatores

A autenticação de dois fatores (2FA) não é mais uma solução de segurança infalível. Foto ilustrativa

Nova forma de ataque

A autenticação de dois fatores (2FA) tornou-se um recurso de segurança padrão em cibersegurança. Ela exige que os usuários verifiquem sua identidade com uma segunda etapa de autenticação, normalmente uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou aplicativo de autenticação. Essa camada extra de segurança visa proteger a conta do usuário mesmo que sua senha seja roubada.

Embora a 2FA seja amplamente adotada por muitos sites e exigida por organizações, recentemente, especialistas em segurança cibernética da Kaspersky descobriram ataques de phishing usados ​​por criminosos cibernéticos para contornar a 2FA.

Consequentemente, os cibercriminosos adotaram uma forma mais sofisticada de ataque cibernético, combinando phishing com bots automatizados de OTP para enganar os usuários e obter acesso não autorizado às suas contas. Especificamente, os golpistas enganam os usuários, fazendo-os revelar esses OTPs para que possam contornar as medidas de proteção 2FA.

Cibercriminosos combinam phishing com bots de OTP automatizados para enganar usuários e obter acesso não autorizado às suas contas. Foto ilustrativa

Até mesmo bots de OTP, uma ferramenta sofisticada, são usados ​​por golpistas para interceptar códigos OTP por meio de ataques de engenharia social. Os invasores frequentemente tentam roubar as credenciais de login das vítimas por meio de métodos como phishing ou exploração de vulnerabilidades de dados. Em seguida, eles acessam a conta da vítima, acionando o envio de códigos OTP para o celular dela.

Em seguida, o bot OTP ligará automaticamente para a vítima, se passando por um funcionário de uma organização confiável, usando um script de conversa pré-programado para convencê-la a revelar o código OTP. Por fim, o invasor recebe o código OTP por meio do bot e o utiliza para obter acesso não autorizado à conta da vítima.

Os fraudadores geralmente preferem chamadas de voz a mensagens de texto, pois as vítimas tendem a responder mais rapidamente a esse método. Por isso, os bots de OTP simulam o tom e a urgência de uma chamada humana para criar uma sensação de confiança e persuasão.

Os fraudadores controlam os bots de OTP por meio de painéis online dedicados ou plataformas de mensagens como o Telegram. Esses bots também oferecem uma variedade de recursos e planos de assinatura que permitem que os invasores operem. Os invasores podem personalizar os recursos do bot para se passar por organizações, usar vários idiomas e até mesmo escolher um tom de voz masculino ou feminino. Opções avançadas incluem falsificação de número de telefone, que faz com que o número de telefone do autor da chamada pareça ser de uma organização legítima para enganar a vítima de forma sofisticada.

Quanto mais a tecnologia se desenvolve, maior a exigência de proteção de contas. Foto ilustrativa

Para usar um bot OTP, o golpista precisa primeiro roubar as credenciais de login da vítima. Eles costumam usar sites de phishing projetados para se parecerem exatamente com páginas de login legítimas de bancos, serviços de e-mail ou outras contas online. Quando a vítima insere seu nome de usuário e senha, o golpista coleta essas informações automaticamente (em tempo real).

Entre 1º de março e 31 de maio de 2024, as soluções de segurança da Kaspersky impediram 653.088 tentativas de acesso a sites criados por kits de phishing direcionados a bancos. Dados roubados desses sites são frequentemente usados ​​em ataques de bots de OTP. No mesmo período, especialistas detectaram 4.721 sites de phishing criados por kits que visavam burlar a autenticação de dois fatores em tempo real.

Não crie senhas comuns

Olga Svistunova, especialista em segurança da Kaspersky, comentou: "Ataques de engenharia social são considerados métodos de fraude extremamente sofisticados, especialmente com o surgimento de bots de OTP com a capacidade de simular chamadas de representantes de atendimento de forma legítima. Para permanecer vigilante, é importante manter a cautela e cumprir as medidas de segurança."

Os hackers simplesmente usam algoritmos de previsão inteligentes para descobrir senhas facilmente. Foto ilustrativa

Como a análise de 193 milhões de senhas realizada por especialistas da Kaspersky usando algoritmos de adivinhação inteligente no início de junho revelou que essas também são senhas comprometidas e vendidas na darknet por ladrões de informações, 45% (equivalente a 87 milhões de senhas) podem ser quebradas com sucesso em um minuto; apenas 23% (equivalente a 44 milhões) das combinações de senhas são consideradas fortes o suficiente para resistir a ataques, e a quebra dessas senhas levará mais de um ano. No entanto, a maioria das senhas restantes ainda pode ser quebrada entre 1 hora e 1 mês.

Além disso, especialistas em segurança cibernética também revelaram as combinações de caracteres mais comumente usadas quando os usuários configuram senhas como: Nome: "ahmed", "nguyen", "kumar", "kevin", "daniel"; palavras populares: "forever", "love", "google", "hacker", "gamer"; senhas padrão: "password", "qwerty12345", "admin", "12345", "team".

A análise constatou que apenas 19% das senhas continham uma combinação de uma senha forte, incluindo uma palavra não encontrada no dicionário, letras maiúsculas e minúsculas, além de números e símbolos. Ao mesmo tempo, o estudo também constatou que 39% dessas senhas fortes ainda podiam ser adivinhadas por algoritmos inteligentes em menos de uma hora.

Curiosamente, os invasores não precisam de conhecimento especializado ou equipamentos avançados para quebrar senhas. Por exemplo, um processador dedicado de laptop pode usar força bruta para quebrar com precisão uma combinação de senhas de oito letras minúsculas ou números em apenas sete minutos. Uma placa de vídeo integrada pode fazer o mesmo em 17 segundos. Além disso, algoritmos inteligentes de adivinhação de senhas tendem a substituir caracteres ("e" por "3", "1" por "!" ou "a" por "@") e strings comuns ("qwerty", "12345", "asdfg").

Você deve usar senhas com sequências de caracteres aleatórias para dificultar a descoberta por hackers. Foto ilustrativa

“Inconscientemente, as pessoas tendem a criar senhas muito simples, muitas vezes usando palavras do dicionário em seu idioma nativo, como nomes e números... Mesmo combinações de senhas fortes raramente se desviam dessa tendência, então elas são completamente previsíveis por algoritmos”, disse Yuliya Novikova, Chefe de Inteligência de Pegada Digital da Kaspersky.

Portanto, a solução mais confiável é gerar uma senha completamente aleatória usando gerenciadores de senhas modernos e confiáveis. Esses aplicativos podem armazenar grandes quantidades de dados com segurança, fornecendo proteção abrangente e robusta às informações do usuário.

Para fortalecer suas senhas, os usuários podem aplicar as seguintes dicas simples: use um software de gerenciamento de senhas; use senhas diferentes para serviços diferentes. Dessa forma, mesmo que uma de suas contas seja hackeada, as outras permanecerão seguras; frases-senha ajudam os usuários a recuperar contas quando esquecem suas senhas; é mais seguro usar palavras menos comuns. Além disso, eles podem usar um serviço online para verificar a força de suas senhas.

Evite usar informações pessoais, como datas de nascimento, nomes de familiares, animais de estimação ou apelidos, como senhas. Essas costumam ser as primeiras coisas que os invasores tentam fazer ao tentar descobrir uma senha.