O que é ataque de dicionário e como se proteger?

O que é um ataque de dicionário?

De acordo com uma pesquisa feita pela NordPass, 83% das senhas dos usuários podem ser quebradas (ou seja, descobertas) em um segundo. Combinações óbvias como 123456, datas de aniversário ou termos óbvios como o primeiro nome são muito recorrentes entre os usuários quando eles criam senhas. Se as suas senhas são feitas com estas combinações simples, é hora de criar senhas mais robustas.

Muitas plataformas já impedem senhas simples demais no momento do cadastro de uma conta, exigindo maiúsculas e minúsculas, números e caracteres especiais. Algumas plataformas até impedem o uso do nome do usuário, da data de aniversário e outros dados mais explícitos.

O principal perigo dos ataques de dicionário é permitir aos cibercriminosos descobrir suas credenciais e, assim, ter acesso às suas contas como perfis em redes sociais, serviços de e-mail, plataformas de games e até ambientes corporativos.

Como funciona o ataque de dicionário?

Muitas pessoas usam os próprios nomes, nomes dos filhos, de bichinhos de estimação, celebridades ou o time favorito como senhas para acessar uma infinidade de plataformas, aplicativos, redes e programas que vão desde o lazer até mesmo a transações bancárias e ambientes de trabalho.

Com o excesso de exposição nas redes sociais, os criminosos conseguem descobrir várias informações pessoais das vítimas: datas de aniversário, nome e sobrenome, e-mail, endereço, lista de contatos e uma série de outras coisas. Com base nestas informações coletadas, os golpistas conseguem executar ataques de dicionário. Estes ataques podem ser feitos tanto manualmente quanto com ajuda de software usado para quebrar senhas e decodificá-las.

Uma senha simples como 11111 pode ser quebrada em alguns milissegundos, mas uma senha como #Br@s1l pode levar 30 minutos para ser decodificada. A regra é simples: quanto mais óbvia e fraca a senha, mais fácil de ser descoberta em um ataque de dicionário.

Depois de invadir uma conta, os hackers alteram as senhas e dados de acesso para dificultar a recuperação e, assim, ampliar as ações maliciosas, como disseminar malware, entrar em contato com os contatos da vítima para aplicar golpes se passando pelo perfil roubado, praticar táticas de phishing e outros cibercrimes.

Quais os danos causados pelos ataques de dicionário?

Os ataques de dicionário apresentam uma série de riscos para as vítimas e podem causar prejuízos imensos, tanto materiais quanto emocionais e psicológicos:

• Vazamento de dados: os ataques de dicionário expõem suas informações pessoais e as informações roubadas são, muitas vezes, comercializadas na deep web e na dark web com outros criminosos.
• Prejuízos financeiros: com o vazamento dos seus dados pessoais, os criminosos podem causar inúmeros prejuízos financeiros e profissionais através do uso indevido dos seus perfis, contas e acessos a plataformas, inclusive de acessos a ambientes de trabalho.
• Danos psicológicos e emocionais: os ataques de dicionário podem gerar vários prejuízos emocionais, principalmente quando os criminosos usam os perfis roubados em redes sociais para fazer postagens comprometedoras, criminosas e que geram dano à imagem da vítima. Ter as contas roubadas pode se transformar em um grande pesadelo social.
• Ataques aos dispositivos: nos ataques de dicionário, os criminosos podem usar as contas roubadas para disseminar malware e infectar o dispositivo da vítima e de outras pessoas.
• Uso dos dados roubados para crimes: os cibercriminosos também usam os dados roubados para aplicar golpes, falsificar identidades e praticar ações de estelionato, tudo usando os perfis e informações das vítimas.

Diferenças entre ataque de dicionário e ataque de força bruta

Apesar de bastante parecidos e com o mesmo objetivo de descobrir as senhas e credenciais das vítimas, há algumas diferenças entre um ataque de dicionário e um ataque de força bruta. Os métodos usados são diferentes.

Um ataque de dicionário usa uma lista de palavras pré-definidas, enquanto um ataque de força bruta tenta todas as combinações possíveis de letras, caracteres especiais e números, sem depender de uma lista.

Eles são capazes de adivinhar senhas de seis caracteres em uma hora. Se uma senha for complexa demais, o ataque pode levar até dias ou anos. Mas, nestes casos, os criminosos preferem atacar alvos mais fáceis.

Os criminosos também usam software programado para descobrir as combinações mais óbvias e, além disso, ajudar a quebrar senhas mais complexas. Os ataques de força bruta levam mais tempo para descobrir as senhas do que os ataques de dicionário e, além disto, também dependem muito das capacidades do hardware usado pelos criminosos.

Ataques online e ataques offline

Ataques de força bruta e ataques de dicionário podem ser feitos tanto offline quanto online. Quando os hackers tentam descobrir suas senhas em um ataque online, eles tentam se conectar ao sistema que vão atacar.

Como atualmente muitas plataformas e programas possuem um limite de tentativas de login, bloqueando a conta caso o limite seja excedido, isto dificulta este tipo de ataque. Além disto, muitas plataformas avisam os usuários através de notificações via e-mail, SMS ou mensagens em aplicativos quando alguém tenta acessar a conta de outro dispositivo desconhecido.

Nos ataques offline, os hackers usam uma base de dados com senhas roubadas e não há o limite de tempo para tentar descobrir as senhas, o que permite uma execução mais tranquila deste tipo de ataque.

Como se prevenir e se proteger de ataques de dicionário

Você deve seguir alguns procedimentos para melhorar sua segurança contra este tipo de ataque e adotar estas medidas nas suas práticas diárias:

• Use senhas fortes: uma das melhores maneiras de se proteger é criar senhas fortes para suas contas. Senhas com 12 caracteres ou mais, alternando maiúsculas e minúsculas, com números e símbolos especiais são consideradas senhas fortes.
• Use um gerenciador de senhas: senhas mais complexas são difíceis de lembrar, e um gerenciador de senhas forte e confiável, como o NordPass, ajuda a armazenar suas senhas de modo seguro.
• Mude suas senhas regularmente: outra dica importante é mudar suas senhas com regularidade. Assim, se suas senhas forem vazadas na dar web, por exemplo, a alteração dos seus dados de acesso ajuda a remover acessos indevidos.
• Não use a mesma senha para todas as contas: usar a mesma senha para tudo pode oferecer mais praticidade, mas é uma péssima escolha e uma grande ameaça para a segurança das suas contas. Use senhas diferentes para cada conta que você criar. Assim, se um hacker descobrir uma senha, ele não vai conseguir acessar todas as suas outras contas.
• Cuidado com a exposição nas redes sociais: é muito importante evitar exposição excessiva nas redes sociais. Evite compartilhar informações pessoais, e-mail, número de telefone e endereço residencial. Se preferir, você pode limitar seu perfil ou excluir suas redes sociais para diminuir sua exposição na internet (confira nosso guia de como excluir conta do Facebook).
• Ative a autenticação de dois fatores: sempre que esta opção estiver disponível, deixe-a habilitada. Assim, mesmo que os criminosos descubram suas senhas, eles vão precisar do código de autenticação para permitir o acesso nos novos dispositivos. Isto ajuda a proteger suas contas e evita que elas caiam nas mãos erradas.