Ataques de “força bruta” (brute-force, em inglês) são métodos arcaicos e não muito sofisticados usados por hackers para invadir contas, sistemas e dispositivos. Apesar de não ser um mecanismo muito eficiente, é importante saber mais sobre ele e como proteger suas contas e evitar ataques deste tipo.
É um tipo de ataque cibernético que consiste em tentar violar as credenciais da vítima (como nome de usuário e/ou senha).
Em um ataque de força bruta, hackers usam um método de tentativa e erro para tentar adivinhar e acertar as senhas, chaves de criptografia e números PIN. O principal objetivo é conseguir acesso a qualquer coisa protegida por uma senha (seja uma conta, dispositivo ou plataforma).
Apesar de ser usado de forma ilícita, os ataques de força bruta também podem ser usados para testar a segurança da rede de uma empresa, por exemplo, através de testes de penetração.
Ataques de força bruta são, basicamente, um jogo de adivinhação. Entretanto, eles exigem certos recursos, como tempo e poder de computação. Quanto mais complexa a senha, maior é a dificuldade da tática funcionar. E quanto mais óbvia a combinação, mais chances os criminosos têm de adivinhá-la.
Os criminosos tentam adivinhar as senhas digitando-as em algum terminal, no próprio dispositivo que querem invadir, ou através de qualquer dispositivo conectado à internet (para contas de redes sociais, e-mails, entre outras).
Ataques de força bruta também podem ser feitos através de software especializado capaz de realizar milhares de combinações por segundo, o que torna o processo mais rápido e eficiente. Se sua senha tiver apenas dois dígitos, por exemplo, isto significa que há 100 combinações possíveis que um hacker poderia tentar.
A eficácia deste tipo de tentativa depende de alguns fatores, principalmente em relação à força da senha. Muitos websites, redes sociais e plataformas, por exemplo, exigem senhas de no mínimo 8 dígitos, incluindo letras maiúsculas e minúsculas. Ao contrário das senhas mais básicas, elas são praticamente impossíveis de serem adivinhadas.
Um programa que faz combinações automaticamente pode burlar uma senha curta e óbvia com facilidade considerável, mas pode levar anos até que uma combinação de 16 caracteres seja descoberta.
Muitas plataformas também adicionam camadas extra de segurança, como criptografia para proteger suas informações.
Há diferentes tipos de ataques de força bruta que os hackers podem usar, e aqui nós listamos os principais:
Este tipo de ataque de força bruta exige credenciais já obtidas, seja por meio de ataques de força bruta realizados anteriormente, invasões e vazamentos de dados, ou simplesmente pela aquisição em locais especializados em venda de informações na dark web. A NordVPN conduziu um estudo de caso sobre o mercado da Dark Web, avaliando os preços oferecidos por esses dados, e os resultados são impressionantes. Pagando valores irrisórios, os hackers conseguem colocar as mãos nessas credenciais e depois ganham acesso livre a diferentes plataformas.
Por exemplo: quando os criminosos adquirem as suas credenciais de login do Facebook, podem tentar usar as mesmas credenciais para entrar em outras redes sociais, e-mail, plataformas e até contas de banco. É por isto que é importante evitar usar a mesma senha para várias contas.
Nesta modalidade, o hacker vai tentar usar um banco de combinações de senhas, um “dicionário” para consultas posteriores. É muito comum que as pessoas usem nomes pessoais, nomes de cidades, de objetos e de animais de estimação em suas senhas.
Assim, elas se tornam mais frágeis e mais fáceis de se adivinhar. Hackers também podem adicionar senhas muito comuns (como combinações de números e letras como “senha123” ou “12345”) aos bancos de dados deles.
No ataque de força bruta reverso, como o nome sugere, há a utilização de uma técnica oposta à dos demais tipos de ataques de força bruta. Um hacker pode pegar uma senha, geralmente bastante comum, e tentar usá-la no máximo de contas possíveis. Neste caso, o hacker não tem como alvo uma única pessoa, mas contas aleatórias como um todo.
A melhor forma de evitar ataques de força bruta é criando uma senha o mais forte possível. Quanto melhor for sua senha, menos vulnerável ela estará de ser descoberta por métodos de força bruta.
Além disso, a segurança das suas credenciais depende do modo como a plataforma que gerencia suas contas (como as empresas que cuidam de redes sociais, serviços de e-mail, apps de mensagens, serviços bancários, entre outros) faz a armazenagem e a proteção destes dados. Uma boa segurança torna suas credenciais mais protegidas, enquanto plataformas mais vulneráveis são mais suscetíveis a invasões e vazamentos que comprometem seus dados.
Muitas plataformas dificultam a vida dos hackers ao bloquear contas depois de certo número de tentativas falhas de login, além de oferecer criptografia às senhas, reduzir as taxas de tentativa de login e exigir verificações de CAPTCHA (sigla para Completely Automated Public Turing Test to tell Computers and Humans Apart, ou “Teste de Turing Público Completamente Automatizado para Diferenciar entre Computadores e Humanos”) para evitar a ação de bots.
Entretanto, você não tem controle sobre os recursos de cibersegurança usados pelos websites e não é muito bom depender exclusivamente dos mecanismos usados pelas plataformas. Mas há várias dicas de segurança que você pode seguir para reduzir as chances de sofrer com este tipo de ataque e proteger mais suas contas:
Uma senha forte é apenas uma parte da sua defesa online. Proteja-se com a NordVPN!
Assine a NordVPN