O que são ataques de força bruta e como evitá-los?

Ataques de força bruta não têm como objetivo adivinhar apenas senhas, mas sim praticamente qualquer tipo de dado criptografado. Estas tentativas podem ser feitas manualmente ou através de programas maliciosos especializados em fazer milhares de testes de combinações a cada segundo.

Apesar de ser usado de forma ilícita, os ataques de força bruta também podem ser usados para testar a segurança da rede de uma empresa, por exemplo, através de testes de penetração.

Ataques de força bruta são, basicamente, um jogo de adivinhação. Entretanto, eles exigem certos recursos, como tempo e poder de computação. Quanto mais complexa a senha, maior é a dificuldade de a tática funcionar. E quanto mais óbvia a combinação, mais chances os criminosos têm de adivinhá-la.

Os criminosos tentam adivinhar as senhas digitando-as em algum terminal, no próprio dispositivo que querem invadir, ou através de qualquer dispositivo conectado à internet (para contas de redes sociais, e-mails, entre outras).

Ataques de força bruta também podem ser feitos através de software especializado capaz de realizar milhares de combinações por segundo, o que torna o processo mais rápido e eficiente. Há também os ataques de dicionário, parecidos com os ataques de força bruta, mas que dependem de uma lista pré-definida de palavras, termos e combinações para adivinhar as senhas das vítimas.

Há vários tipos de ataques de hackers que podem ser considerados como ataques de brute-force e há uma grande variação no nível de sucesso de cada tipo de ataque.

Senhas que só têm quatro caracteres e só usam números, só letras minúsculas ou até mesmo variações entre maiúsculas e minúsculas podem ser descobertas instantaneamente. Já as senhas mais complexas (com 18 caracteres, letras maiúsculas e minúsculas, caracteres especiais e números) são praticamente impossíveis de descobrir.

Muitas plataformas também adicionam camadas extra de segurança, como criptografia para proteger suas informações.

Há diferentes tipos de ataques de força bruta que os hackers podem usar, e aqui nós listamos os principais:

Reciclagem de credenciais

Este tipo de ataque de força bruta exige credenciais já obtidas, seja por meio de ataques de força bruta realizados anteriormente, invasões e vazamentos de dados, ou simplesmente pela aquisição em locais especializados em venda de informações na dark web. A NordVPN conduziu um estudo de caso sobre o mercado da Dark Web, avaliando os preços oferecidos por esses dados, e os resultados são impressionantes. Pagando valores irrisórios, os hackers conseguem colocar as mãos nessas credenciais e depois ganham acesso livre a diferentes plataformas.

Por exemplo: quando os criminosos adquirem as suas credenciais de login do Facebook, podem tentar usar as mesmas credenciais para entrar em outras redes sociais, e-mail, plataformas e até contas de banco. É por isto que é importante evitar usar a mesma senha para várias contas.

Dicionário de ataque

Nesta modalidade, o hacker vai tentar usar um banco de combinações de senhas, um “dicionário” para consultas posteriores. É muito comum que as pessoas usem nomes pessoais, nomes de cidades, de objetos e de animais de estimação em suas senhas.

Assim, elas se tornam mais frágeis e mais fáceis de se adivinhar. Hackers também podem adicionar senhas muito comuns (como combinações de números e letras como “senha123” ou “12345”) aos bancos de dados deles.

Ataque de força bruta reverso

No ataque de força bruta reverso, como o nome sugere, há a utilização de uma técnica oposta à dos demais tipos de ataques de força bruta. Um hacker pode pegar uma senha, geralmente bastante comum, e tentar usá-la no máximo de contas possíveis. Neste caso, o hacker não tem como alvo uma única pessoa, mas contas aleatórias como um todo.

Ataque de força bruta simples

Nesta categoria, os ataques de força bruta são realizados por tentativas de adivinhar manualmente as credenciais da vítima, sem usar nenhum tipo de programa ou recurso automatizado. Este é o tipo de ataque menos robusto, mas não fica sem resultados – principalmente porque a quantidade de pessoas que usam combinações simples (como 123456, por exemplo) é imensa.

Ataque híbrido de força bruta

No ataque híbrido de força bruta, os cibercriminosos mesclam métodos do dicionário de ataque com mecanismos de ataque de força bruta simples. O ataque começa com uma lista de combinações mais básicas, depois são feitas combinações mais complexas com ajuda de um software.

Ataque Rainbow Table

No ataque do tipo Rainbow Table usa uma tabela de dados (daí o nome Rainbow Table) para adivinhar a senha da vítima. Como as aplicações mais atuais não armazenam as senhas dos usuários em formato de texto simples, mas sim com criptografia e hashes.

Quando o usuário insere a senha para fazer login, ela é convertida em hashes ou pedaços. O resultado destes pedaços é comparado com os hashes armazenados no servidor e é feita uma busca para autenticar o usuário e permitir o acesso. Aí, os hackers invadem os sistemas para acessar os hashes e, assim, realizar o ataque através da combinação destes hashes para descobrir as credenciais da vítima.

Ataques de força bruta não devem ser subestimados. Eles podem parecer menos complexos em comparação com outros ataques, como phishing e ransomware, mas isto é um péssimo erro.

Os ataques de força bruta geram roubo de dados, vazamento de informações sigilosas (senhas obtidas geralmente são divulgadas e comercializadas na deep web e dark web), propagam malware, impedem o acesso a sistemas, indisponibilizam serviços e sobrecarregam sistemas e geram uma série de prejuízos materiais e psicológicos.

Imagine o transtorno de ver que alguém invadiu sua conta nas redes sociais porque conseguiu descobrir sua senha e usa seus perfis para disseminar malware, conteúdo comprometedor e aplicar golpes nas pessoas que você conhece?

Agora, imagine que uma empresa inteira tem os dados bancários dos clientes roubados porque os hackers conseguiram acessar os sistemas através de ataques de força bruta? Os danos são difíceis de imaginar.

E o que não faltam são exemplos reais dos danos deste tipo de ataque. Os sistemas da T-Mobile foram invadidos por um ataque de força bruta em agosto de 2021, com prejuízos de mais de 350 milhões de dólares.

Este tipo de ameaça cibernética deve ser levada a sério e é essencial adotar medidas para aumentar sua segurança.

Há várias dicas de segurança que você pode seguir para reduzir as chances de sofrer com este tipo de ataque e proteger mais suas contas:

• Use a autenticação de dois fatores: ela exige etapas adicionais para confirmar o login, dando proteção extra contra os ataques de força-bruta.
• Use plataformas que oferecem mais proteção: dê preferência para plataformas que bloqueiam o acesso depois de um número X de tentativas mal sucedidas.
• Prefira plataformas que usam CAPTCHA: as verificações de CAPTCHA são uma camada adicional de proteção contra os ataques de força bruta e botnets.
• Evite combinações óbvias: fuja de senhas simples como 123456 – verifique estas dicas de senhas fortes que podem te ajudar.
• Crie senhas fortes: evite combinações óbvias, crie senhas mais longas, com maiúsculas, minúsculas, caracteres especiais e números, por exemplo.
• Ative a autenticação multifatorial: sempre que possível, ative a autenticação multifatorial (ou multifator de autenticação, ou MFA). Isto ajuda a proteger suas contas. Mesmo que um hacker consiga roubar suas informações de acesso, será necessário inserir um código de confirmação ou realizar um processo específico de confirmação para validar o novo acesso.
• Mude suas senhas com frequência: mudar suas senhas com regularidade ajuda a evitar ataques de força bruta e proteger suas contas.
• Não reutilize senhas: evite usar a mesma senha para diferentes contas. Isso facilita a vida dos hackers e deixa suas contas vulneráveis.
• Mantenha suas senhas seguras com um gerenciador de senhas: um bom gerenciador de senhas (como o NordPass) ajuda a manter suas senhas organizadas e em segurança, além de oferecer recursos de geração de senhas aleatórias e mais robustas. Você não vai precisar se preocupar em memorizar suas senhas.
• Jamais compartilhe suas senhas e credenciais: outra dica fundamental é jamais compartilhar sua senha com terceiros. Afinal, elas são pessoais.
• Controle quem tem acesso aos seus dispositivos: também é fundamental controlar as pessoas que têm acesso aos seus dispositivos e à sua rede, o que também limita as possibilidades de ataques de força bruta.
• Mantenha as atualizações do seu sistema: manter as atualizações de segurança do seu sistema também limita as possibilidades de ataques de força bruta.
• Não dependa só da segurança das plataformas: independente dos recursos de cibersegurança, nenhum sistema é perfeito e você precisa se proteger sempre.

E, se você administra uma plataforma, rede, website ou qualquer armazenamento de credenciais de usuários, estas dicas são essenciais para se proteger dos ataques de força bruta:

• Limitar as tentativas de acesso: limite a quantidade de tentativas de acesso. Isto ajuda a repelir ataques de força bruta e proteger a conta.
• Implemente a autenticação de múltiplos fatores: crie mecanismos de verificações adicionais para o login. Assim, mesmo que a senha seja descoberta, será necessário autenticar o acesso através de um código de confirmação.
• Coloque verificação de CAPTCHA: a verificação de CAPTCHA ajuda a identificar acessos automatizados e bloquear bots usados nos ataques de força bruta.
• Encerre contas sem utilização: contas inativas podem e devem ser removidas, já que elas se tornam um perigo para o sistema por não terem as credenciais atualizadas.
• Configure uma boa firewall para a sua rede: com uma firewall robusta, a proteção dos dados armazenados em uma rede fica muito melhor.
• Web filter e app filter: um filtro web e um filtro de app ajuda a identificar solicitações e programas nocivos e ataques em potencial, o que dá mais segurança para os dados.
• Use uma VPN profissional: uma VPN profissional oferece criptografia adicional para a conexão, o que garante um nível mais forte de proteção contra ameaças digitais.