Como os gerenciadores de senhas podem ser hackeados

0 0

Nos últimos meses, vários dos principais gerenciadores de senhas foram vítimas de hackers e violações de dados. Por exemplo, o LastPass, que sofreu uma violação maciça no ano passado, anunciou recentemente novamente que o cofre de senhas da empresa foi roubado. E graças à má prática de reutilizar senhas com muita frequência, o Norton LifeLock também relatou comprometimentos ao seu gerenciador de senhas.

Por que os gerenciadores de senhas são tão atraentes para os cibercriminosos? É simples. Os gerenciadores de senhas possuem as “chaves do castelo”. Se um gerenciador de senhas for comprometido, os invasores obterão acesso a todas as senhas armazenadas de uma só vez, o que significa que eles podem entrar em qualquer ambiente seguro ou se passar por qualquer usuário, contornando todas as defesas de segurança cibernética. O mercado de gerenciadores de senhas está crescendo rapidamente, e os invasores terão como alvo qualquer coisa que possa obter mais retorno para o seu dinheiro.

Alvos atraentes

Algumas das maneiras mais comuns pelas quais os gerenciadores de senhas estão sendo hackeados incluem:

1. Gerenciadores de senhas direcionados a malware

Os programas de malware têm como alvo os gerenciadores de senhas nos últimos anos. Em 2014, o malware chamado Citadel, projetado para atingir gerenciadores de senhas, tornou-se notório por ter comprometido um em cada 500 PCs em todo o mundo. No entanto, naquela época, apenas um pequeno número de usuários usava um gerenciador de senhas. Hoje, a pessoa média precisa se lembrar de mais de 100 senhas, e é por isso que o mercado de gerenciadores de senhas e o mercado de malware para segmentá-los estão crescendo.

Por exemplo, o ataque ao blockchain Solana no ano passado, que resultou em um roubo de US $ 7 milhões, foi causado por malware que visava carteiras de criptomoedas e gerenciadores de senhas chamados Luca Stealer; outro Trojan, apelidado de StealC, visa especificamente extensões de navegador e autenticadores por gerenciadores de senhas; Os ladrões de senhas direcionados a navegadores da Web também existem há décadas.

2. Ataques de phishing contra gerenciadores de senhas

Os ataques de phishing direcionados aos gerenciadores de senhas estão em ascensão. Por exemplo, em janeiro de 2023, os pesquisadores se depararam com o Google Ads que redirecionava as vítimas para páginas falsas do Bitwarden e do 1Password, tentando roubar suas credenciais mestras. Além disso, os clientes de gerenciadores de senhas, como o LastPass, que já tiveram suas credenciais expostas em um vazamento de dados anterior, correm um risco maior de golpes e ataques de phishing. Os invasores conhecem seus endereços de e-mail, números de telefone e os serviços on-line que usam e, portanto, podem ser facilmente segmentados usando uma variedade de técnicas de phishing.

3. Vulnerabilidades de software em gerenciadores de senhas

Assim como todas as outras formas de software, os gerenciadores de senhas são propensos a vulnerabilidades. Recentemente, pesquisadores relataram uma vulnerabilidade no KeePass que poderia permitir que os invasores exportassem todos os nomes de usuário e senhas em texto não criptografado. No início deste ano, o Google descobriu que gerenciadores de senhas populares, como Dashlane, Bitwarden e o gerenciador de senhas do navegador Safari da Apple, podem ser manipulados para preencher senhas automaticamente em páginas não confiáveis.

4. Ataques de preenchimento de credenciais usando credenciais vazadas

Ataques de preenchimento de credenciais estão se tornando cada vez mais comuns. Esse é um tipo de ataque em que os agentes de ameaças aproveitam credenciais vazadas anteriormente (quase 25 bilhões delas estão à venda em mercados subterrâneos) para obter acesso não autorizado a sites, aplicativos e redes. A maioria dos gerenciadores de senhas tem uma “senha mestra” para acessar todas as credenciais e, como 65% dos usuários reutilizam suas senhas em diferentes sites, é possível que os invasores usem técnicas de força bruta ou façam suposições informadas sobre as possíveis combinações de senhas. No final do ano passado, o LastPass confirmou um ataque de preenchimento de credenciais contra alguns de seus usuários.

Os gerenciadores de senhas fazem sentido em 2023?

Os benefícios de ter um gerenciador de senhas superam em muito os riscos. Os gerenciadores de senhas ajudam a mitigar dois dos maiores riscos para usuários e empresas: credenciais fracas e reutilização de senhas. Sim, os ataques aos gerenciadores de senhas estão em ascensão, mas a probabilidade de uma empresa ser atacada devido a credenciais ruins ou reutilização de senhas é muito maior do que a probabilidade de um gerenciador de senhas ser hackeado.

Há uma série de coisas que as organizações podem fazer para mitigar os riscos dos gerenciadores de senhas:

• Funcionários de treinamento de segurança: A maioria dos malwares que roubam senhas é instalada quando os usuários são vítimas de phishing ou engenharia social – os usuários baixam, clicam ou abrem algo que não deveriam. É por isso que é extremamente importante que as organizações instilem um comportamento seguro nos funcionários (alerta, senhas fortes, navegação segura, uso responsável das mídias sociais, não confiando em nada pelo valor nominal, etc.) para que eles não sejam vítimas de um ataque de phishing.
• Patch regularmente: Certifique-se de corrigir todos os seus softwares e sistemas regularmente. O software não corrigido é a segunda maior razão pela qual os cavalos de Tróia que roubam senhas são instalados nos computadores. Certifique-se de verificar e instalar todos os patches críticos, especialmente os que estão em destaque no Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA.
• Use a autenticação multifator resistente a phishing: Use MFA resistente a phishing ou opções sem senha sempre que puder. Não apenas para proteger a senha mestra em seu gerenciador de senhas, mas também em todos os seus sites, aplicativos e serviços críticos.
• Verifique se há credenciais vazadas em sites de despejo de senha: Verifique sites de senhas vazadas on-line (como haveibeenpwned.com) ou faça testes de senha de violação para verificar se alguma de suas credenciais está flutuando em bancos de dados on-line.
• Use um bom gerenciador de senhas: Use gerenciadores de senhas que implantam criptografia forte; que seguem a programação do ciclo de vida de desenvolvimento seguro (SDLC); são responsivos, transparentes e responsáveis perante seus clientes; e que promovem recursos de segurança, como MFA, opções sem senha, recursos contextuais (o usuário é bloqueado se for um dispositivo ou local desconhecido) e recursos de detecção de phishing.

Os gerenciadores de senhas são infalíveis? Não. Mas nada é hoje em dia. Os sistemas operacionais que usamos, os dispositivos e aplicativos que usamos – tudo é hackeável. Os gerenciadores de senhas vêm com alguns grandes benefícios – eles podem dizer se sua senha é forte ou não, impedem que você reutilize sua senha, alguns podem impedi-lo de inserir credenciais em URLs falsas e alguns até o alertarão quando um site for comprometido.

Contanto que as organizações sigam as dicas e as melhores práticas acima, os gerenciadores de senhas podem ser uma ferramenta vital no arsenal de defesa de qualquer organização.

FONTE: DARK READING