15 bilhões de credenciais estão na Darknet, credenciais bancária US$71

15 bilhões de credenciais estão na Darknet, credenciais bancária custam US$71. Cinco bilhões de credenciais são exclusivas e as credenciais da conta bancária são vendidas por uma média de US $ 71, segundo o relatório

Cinco bilhões de credenciais de usuário exclusivas estão circulando nos fóruns da darknet, com cibercriminosos oferecendo a venda de acesso a contas bancárias e acesso de administrador de domínio a redes corporativas, de acordo com a equipe de pesquisa Photon da empresa de segurança Digital Shadows .

Uma pessoa média usa 191 serviços que exigem que eles digitem senhas ou outras credenciais. Isso é muito para manter em dia e apresenta um enorme problema se ocorrer um comprometimento, principalmente se uma pessoa usar as mesmas credenciais em vários serviços. Nos últimos 2,5 anos, a equipe de Digital Shadows Photon Research analisou como os cibercriminosos conspiram para atacar os usuários de serviços online “assumindo” as contas que todos usam diariamente – para bancos, para transmitir vídeos ou música, por exemplo. trabalho.

Os pesquisadores descobriram que mais de 15 bilhões de credenciais de usuário estão em circulação, das quais 5 bilhões de combinações de nome de usuário e senha não têm pares repetidos de credenciais e foram anunciadas em fóruns clandestinos apenas uma vez, de acordo com o relatório divulgado nesta semana.

“Na maioria das vezes, as credenciais expostas são republicações ou amálgamas de credenciais expostas anteriormente“, diz Kacey Clark, pesquisadora de ameaças da Digital Shadows. “Portanto, as equipes de segurança que monitoram esses tipos de problemas já podem ter remediado o risco. As credenciais exclusivas, no entanto, representam um risco mais alto e, portanto, provavelmente causam maior preocupação para as equipes de segurança“.

Usuários de fóruns cibercriminosos em russo, como O Exploit e o XSS geralmente compartilham credenciais livremente para serviços de entretenimento com outros membros do fórum. Eles podem variar de pares de credenciais individuais a arquivos contendo milhares de contas válidas. Essas contas gratuitas geralmente são limitadas a músicas e serviços de streaming de vídeo, porque:

Os cibercriminosos não querem pagar por seus própriosstreaming e / ou
Os cibercriminosos obtêm muitas contas subprodutos, para que possam vender bens valiosos (por exemplo, um conjunto caro de credenciais bancárias) e compartilhe as sobras de graça (por exemplo, streaming credenciais).

Qualquer que seja o motivo de sua “filantropia“, cibercriminosos estão construindo um senso de comunidade nos fóruns que eles usam – que é um dos pontos críticos determinantes do sucesso geral de um fórum. Quanto mais os usuários do fórum sentem um elemento de camaradagem com seus colegas usuários, maior a probabilidade de ficarem por aqui, se não apenas para as contas de streaming gratuitas.

Houve um aumento de 300% no número de credenciais roubadas circulando nesses fóruns clandestinos desde 2018. Após um esforço de pesquisa de 18 meses, os pesquisadores estimam que as credenciais resultam de quase 100.000 violações de dados ocorridas nos últimos dois anos, de acordo com o Digital Shadows .

“Não estou muito surpreso com os números“, disse Troy Hunt, criador do serviço de notificação de violações do HaveIBeenPwned, ao Information Security Media Group. “Curiosamente, notei muito mais listas de preenchimento de credenciais em circulação recentemente, e assim como a pandemia do [COVID-19] em si, elas parecem estar se replicando a um ritmo feroz“.

Comércio

Os cibercriminosos empregam uma variedade de técnicas para realizar aquisições de contas. Alguns criminosos compram credenciais nos mercados da darknet, onde uma única conta custa em média US $ 15,43. Mas as credenciais bancárias mais procuradas são vendidas por uma média de US $ 71, segundo o relatório.

O preço do acesso a uma única conta bancária pode exceder US $ 500, dependendo de fatores como a quantia em dinheiro na conta, a disponibilidade para acessar informações de identificação pessoal e a idade da conta, observa o relatório.

Os anúncios de acesso a esses tipos de contas sofisticadas representavam 25% de todos os anúncios em sites subterrâneos analisados pela Digital Shadows.

Além disso, os pesquisadores descobriram que credenciais para acesso de administrador de domínio a empresas e agências governamentais, onde existe potencial para um comprometimento completo da rede, podem ser vendidas por até US $ 140.000, se ocorrer uma guerra de licitações. Mas o preço médio de venda é de cerca de US $ 3.100, segundo o relatório.

Para fornecer a um potencial comprador de credenciais de administrador informações adicionais para ajudar na venda, alguns fóruns clandestinos incluem detalhes como o número de dispositivos em execução na rede, quantos funcionários trabalham na empresa e qualquer propriedade intelectual ou documentos confidenciais no sistema, o relatório declara.

“Os cibercriminosos têm como alvo as minas de ouro óbvias de contas financeiras ou internas da empresa, mas também veem valor em coisas como contas de streaming ou antivírus“, disse Clark à ISMG.

Por exemplo, as credenciais da conta de videogame são vendidas por apenas US $ 2, observa o relatório.

Muitas pessoas usam as mesmas credenciais em várias plataformas, observam os pesquisadores da Digital Shadows. Isso deixa os usuários vulneráveis a aquisições de contas por hackers que implementam ataques de força bruta. E as ferramentas para esses ataques podem ser compradas na darknet por um preço médio de US $ 4, segundo o relatório.

Coletando credenciais

O ATO (account Takeover) não é novo e há várias maneiras de impedir isso (veja a lista ao final), mas vale a pena destacar dois métodos de mitigação conhecidos que os atacantes comprovaram sua capacidade de vencer: CAPTCHA e 2FA.

CAPTCHA

Inicialmente foi introduzido o CAPTCHA (teste de Turing público completamente automatizado para diferenciar os computadores e os seres humanos) impedir que bots e malware automatizados possam se comunicar com sites. Na verdadeira forma, os cibercriminosos encontrou uma maneira de ignorar a defesa deste site implantando uma variedade de métodos: serviço human-assisted, soluções de aprendizado de máquina e ferramentas automatizadas (por exemplo, Anticaptcha, Buster) entre elas.

Uma das razões pelas quais o Sentry MBA foi tão bem-sucedido é que ele pode ignorar algumas formas de CAPTCHA usando seu módulo de reconhecimento óptico de caracteres ou um banco de dados que contém uma infinidade de imagens e respostas CAPTCHA.

2FA

Vamos deixar bem claro: o 2FA é melhor do que apenas um par de nome de usuário e senha. Mas agora está claro agora que não é infalível. O 2FA baseado em mensagens SMS recebe muitas críticas por ser menos seguro do que outros métodos 2FA; Existem vários problemas bem documentados. A entrada SIM (seqüestro de SMS), por exemplo, é um tipo de ataque que usa engenharia social métodos para convencer os provedores de rede móvel a transferir o serviço móvel da vítima para um novo Cartão SIM controlado pelo invasor. Quaisquer códigos 2FA são então roteados automaticamente para o invasor.

Outros ataques direcionados à autenticação baseada em SMS incluem o sequestro do SS7, que envolve a exploração de uma fraqueza no sistema de sinalização no 7, permitindo que os invasores interceptem dados, textos e locais de um dispositivo móvel
dispositivo, execute ataques man-in-the-middle e use ferramentas como “Mureana”. Mas o problema não está somente no SMS, anteriormente, o malware “Cerberus” 8 foi descoberto por ter adicionado a capacidade de ignorar o Google Authenticator 9.

Métodos para contornar o 2FA são comumente discutidos em fóruns de cibercriminosos. Em dezembro de 2019, por exemplo, um usuário de Exploit criou um thread para vender um método que ignoraria os sistemas 2FA em um banco online baseado nos Estados Unidos. O cibercriminoso disse que seu sistema permitiria que cada sete a nove em cada dez contas fossem acessadas sem a necessidade de verificação por SMS e avaliaram sua oferta em US $ 5.000.

Além de comprar credenciais diretamente na darknet, os cibercriminosos também usam ferramentas de cracking de força bruta e verificadores de contas para roubar informações, de acordo com o relatório. “Com base em suas descrições, essas ferramentas podem ‘quebrar’ contas associadas a bancos, videogames, serviços de comércio eletrônico, mídias sociais, streaming, contas VPN e serviços de proxy“, observa o relatório.

Muitos hackers também coletam credenciais bancárias usando cavalos de Troia, keyloggers e ataques do tipo man-in-the-browser, que lhes permitem roubar os dados diretamente dos portais bancários on-line das vítimas, de acordo com o relatório.

Depois que um hacker obtém uma lista de credenciais, ele pode comprar ou alugar ferramentas para ataques de preenchimento de credenciais – tentativas automatizadas de login usando uma combinação de nomes de usuário e senhas em texto sem formatação, observa o relatório.

Os pesquisadores do Digital Shadows também observam que alguns sites alugam credenciais de identidade por um tempo limitado por menos de US $ 10. Esses sites oferecem não apenas acesso a contas comprometidas, mas também dados do navegador, como endereços IP, fusos horários e cookies, o que facilita evitar a detecção, de acordo com o relatório.

Às vezes, os cibercriminosos compartilham credenciais gratuitamente em fóruns para ajudar a criar um senso de comunidade, diz Clark. “Depois que alguém publica um conjunto de dados com hash, outros usuários do fórum trabalham para analisá-lo e, em seguida, postam as senhas em texto sem formatação como um banco de dados“.

Seja resiliente ao ATO

Segundo o relatório, tornar-se verdadeiramente resiliente à ATO requer uma mudança de comportamento e prática, tanto da organização quanto de seus funcionários. O relatório oferece as seguintes orientações para apresentar sua melhor defesa contra a ameaça da ATO.

Monitore as credenciais vazadas de seus funcionários
1. O HaveIBeenPwned é um ótimo recurso para isso, alertando você sobre casos de violações e incluindo domínio de email da sua organização. Apesar O HaveIBeenPwned não fornece a você senhas, é um ótimo lugar para começar a identificar quais contas estão potencialmente comprometidas.
2. Os repositórios de código podem ser ricos em segredos e senhas codificadas, mas existem algumas ótimas (gratuitas e de código aberto), como o TruffleHog e Gitrob, que os procuram por chaves de acesso, tokens de autenticação e segredos de clientes.
Monitore referências à sua empresa e marca nomes em fóruns de cracking. Arquivos de configuração para seu site que está sendo compartilhado ativamente e baixados são uma boa indicação de iminência de tentativas de ATO. Use os Alertas do Google para esse monitoramento, que identifica os riscos específicos para o seu negócio;
Monitore as credenciais vazadas de seus clientes, o que permite que você responda proativamente. Considere alertar todos os clientes que foram envolvido em uma violação e solicitando que eles redefinam suas senhas se tiverem reutilizado credenciais.
Implante um Firewall de aplicativos Web embutido (WAF). WAF Comerciais e de código aberto, como o ModSecurity, podem identificar e bloquear ataques de preenchimento de credenciais.
Aumente a conscientização do usuário. Eduque sua equipe e consumidores sobre os perigos do uso corporativo endereços de e-mail para contas pessoais, bem como reutilizando senhas.
Mantenha o conhecimento das ferramentas de preenchimento de credenciais. Fique de olho no desenvolvimento do OpenBullet e outros, e monitore como suas soluções de segurança estão protegendo contra capacidades em evolução (como ignorando CAPTCHA).
Implemente autenticação multifatorial que não use mensagens SMS. Isso pode ajudar a reduzir a ATO, mas deve ser equilibrado com o atrito (e custo) que pode causar.

Fonte: ISMG & Digital Shadows Report

Veja também: