O que são ataques de ATO (account takeover)?

Imagine que você finalmente decidiu comprar aquele celular novo que estava de olho há meses. Para isso, você tenta acessar a sua conta do banco pelo aplicativo para finalizar a transferência, mas logo sente um arrepio na espinha: a sua senha foi alterada de maneira misteriosa. Isso pode ser um sinal de que você sofreu um ataque de ATO.

• Nem a Nvidia escapou: Pesquisadores acham brechas graves em motores de IA
• Hackers chineses usam IA para automatizar campanha de ciberespionagem

Conhecido também como “account takeover” (assumir o controle de conta, em tradução literal), um ataque de ATO ocorre quando um terceiro não autorizado obtém controle total ou parcial de uma conta legítima. Essa ação geralmente vem por meio da exploração de vulnerabilidades de segurança em sistemas online, além do comportamento do próprio usuário na web.

Um ATO pode ser nocivo tanto para indivíduos comuns quanto para empresas, provocando perdas financeiras e até mesmo danos à reputação, deixando um terrível rastro de destruição por onde passa. Qualquer conta pode estar na mira dos cibercriminosos, que estão sempre à espreita para atacar aqueles que baixam a guarda no meio digital.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O que é um ATO?

Em linhas diretas, um ATO é um ataque digital orquestrado por hackers que conseguem obter acesso não autorizado a uma conta online, seja de e-mail, do banco, de contas comerciais, entre outros.

O principal objetivo por trás da ação criminosa é roubar informações sigilosas dos usuários para cometer fraudes, fazer transferências monetárias e comprometer a reputação da vítima, seja uma pessoa ou uma empresa.

Aqui, vale mencionar ainda que o ATO é diferente de um “simples” vazamento de informações, já que, uma vez dentro da conta, o criminoso consegue se passar pelo usuário legítimo, fazendo o que bem entender na plataforma. É dessa maneira que roubos de identidade, disseminação de spams e outros crimes ocorrem, trazendo consequências difíceis de serem remediadas.

Histórico e evolução: da engenharia social aos bots

Os primeiros registros de ataques de account takeover são datados das décadas de 1990 e 2000, período em que a internet ainda era algo muito novo e misterioso.

Com internautas mais ingênuos diante dos perigos da web, foi nessa época que alguns cibercrimes conhecidos na atualidade, como o próprio ATO e o phishing, por exemplo, começaram a tomar forma, chegando às táticas mais sofisticadas dos dias atuais.

Inicialmente, um ataque ATO usava como estratégia base táticas de engenharia social. O modus operandi mais conhecido era quando o hacker ligava para a vítima fingindo ser um funcionário de suporte para verificação de aparelhos, implementando um senso de urgência para facilitar o golpe. 

Caso não quisesse ter todo esse trabalho, os criminosos digitais dos primórdios do ATO apostavam em ataques de força bruta (também conhecidos como “brute force”), um método manual que consiste na adivinhação de senhas e credenciais de login por meio de tentativa e erro com testes de combinações até a certa ser encontrada.

O avanço da tecnologia, no entanto, abriu portas para que essas técnicas golpistas se tornassem mais profissionais e automatizadas. Ali pela década de 2010, vazamentos massivos de dados de grandes empresas, como no caso do LinkedIn, que teve mais de 6 milhões de senhas roubadas e quase 120 milhões de e-mails comprometidos em 2012, viraram uma chave na cabeça dos criminosos.

Isso porque foi dessa maneira que os hackers começaram a “testar” credenciais vazadas por causa de vulnerabilidades sistemáticas ao invés de simplesmente tentar a sorte na adivinhação das senhas. Tudo ficou ainda mais fácil e instantâneo quando a tecnologia proporcionou o surgimento de bots e da inteligência artificial (IA), que, hoje em dia, conseguem testar milhares e milhares de logins por segundo de maneira simultânea e com maior precisão.

Como o ATO é explorado hoje?

Como você viu acima, os avanços tecnológicos proporcionaram uma maior profissionalização dos crimes digitais que, atualmente, estão cada vez mais sofisticados. Na prática, os ataques de ATO usam elementos clássicos dos hackers, como engenharia social e phishing, mas também contam com a ajuda de ferramentas digitais automatizadas mais velozes.

Veja a seguir quais são principais táticas por trás de um ataque ATO e como elas agem contra as vítimas.

Credential stuffing

O credential stuffing é um ataque digital de preenchimento de credenciais, sendo o mais comum para a concretização de um account takeover. Nesse caso, os hackers conseguem obter acesso à conta a partir de uma lista de nomes de usuário ou endereços de e-mail que, na maioria das vezes, vem de dados vazados de sites e outras plataformas.

Aqui, os cibercriminosos apostam na ideia de que a vítima pode acabar repetindo senhas em várias contas distintas, como bancos e redes sociais, então usam ferramentas automatizadas para testar essa teoria. Muitos casos dão certo, o que é a porta de entrada para um ataque ATO dar certo.

Phishing e smishing

Phishing e smishing são duas práticas bastante comuns entre os cibercriminosos, que usam uma espécie de “isca” para fisgar a atenção da vítima e, assim, roubar dados sensíveis, como informações bancárias e registros de identidade, para aplicar golpes.

No caso do ATO, as duas estratégias vão direto à fonte para coletar credenciais com o envio de links maliciosos por meio de um e-mail (phishing) ou mensagem de texto (smishing).

O Canaltech tem duas matérias que detalham exatamente como essa dupla age e quais são os principais golpes na ativa hoje em dia. Confira a seguir:

• O que é phishing e como se proteger?
  
• Smishing e Vishing: o phishing que chega por SMS e ligação de voz

Session hijacking

O session hijacking nada mais é do que um “roubo de sessão”. O que ocorre no uso dessa tática é a obtenção de controle de uma sessão ativa de um usuário legítimo em um site ou outra plataforma.

Geralmente, o hacker usa um malware para roubar os cookies de navegação da vítima, o que permite que ele consiga acessar o dispositivo sem precisar saber da senha.

Ataques via API

Nem mesmo a sua navegação por aplicativos móveis pode estar segura. Ataques de ATO também costumam usar APIs para coletar dados sensíveis dos usuários, apostando na exploração de possíveis vulnerabilidades do sistema para conseguir driblar a operação de segurança.

Sinais de alerta: como identificar que você foi uma vítima de ATO

Um ataque de ATO pode acontecer com qualquer pessoa ou instituição, basta um deslize. Por isso, é importante saber como identificar se você ou a sua empresa se tornaram vítimas de um account takeover.

Veja a seguir quais são os sinais de alerta:

1. E-mails suspeitos de “nova tentativa de login” ou “senha alterada” que não foram solicitados pelo usuário. Caso você nunca tenha modificado suas credenciais, mas receba esse tipo de notificação, pode ser um alerta para um ataque de ATO.
2. Dispositivos desconhecidos encontrados nas configurações de segurança da conta. Se você encontrou algum aparelho estranho listado nas suas configurações de segurança, vale ligar o alerta vermelho para um account takeover.
3. Atividades suspeitas na conta. Olhou a sua timeline e viu publicações que você definitivamente não fez, ou abriu o extrato bancário e identificou uma compra estranha? Em ambas as situações, pode ser um caso de ataque de ATO.
4. Bloqueio repentino de acesso à conta. Se você tentou acessar suas contas, mas notou que a senha antiga não está funcionando mais, é hora de verificar um possível ataque de ATO nas suas credenciais.

Como se proteger e se prevenir de ataques ATO

Para evitar que o pior aconteça, é fundamental entender como se proteger e, mais do que isso, prevenir-se de ataques de ATO. Algumas medidas simples e efetivas já são o suficiente para te dar mais segurança, evitando que suas credenciais sejam roubadas.

Confira quatro dicas de como se proteger de ataques ATO para uma experiência mais segura na internet:

1. Use Autenticação de Múltiplos Fatores ou Autenticação de Dois Fatores (MFA/2FA). Ambas as práticas são métodos de defesa para manter suas credenciais seguras. Enquanto a 2FA usa apenas um SMS para verificação, por exemplo, a MFA oferece uma maior segurança com a exigência de duas ou mais formas de autenticação para permitir o acesso.
2. Aposte em gerenciadores de senhas. Esses programas funcionam como um armazenador de senhas, cujas informações são criptografadas a partir de uma única chave. O método é prático para que o usuário nunca repita senhas e crie credenciais fortes, anulando a possibilidade de cair em um credential stuffing.
3. Monitore vazamentos de dados. Hoje em dia, vazamentos de informações sensíveis são bastante comuns, e existe uma maneira de descobrir se você foi vítima de um deles. O site Have I Been Pwned, por exemplo, é uma ferramenta de checagem para o usuário descobrir se dados como e-mail, números de telefone ou senha foram expostos em violações de segurança.
4. Usar um passkey é uma alternativa segura. Por substituírem senhas em logins de sites ou aplicativos, o par de chaves de acesso (pública e privada) oferece maior segurança com chaves criptografadas. A ferramenta protege seus dados contra possíveis ataques de phishing e force brute.

Segurança digital: uma vigilância constante

Considerando que, num piscar de olhos, você pode se tornar uma vítima de um ataque de ATO sem nem ao menos perceber, é mais do que necessário se manter sempre vigilante no ambiente digital, principalmente quando falamos sobre credenciais sensíveis, como senhas de bancos, redes sociais e outras plataformas que contenham dados importantes.

Afinal, não dá para permanecer de braços cruzados: suas informações confidenciais são preciosas demais para ficar dando bobeira na internet. Por isso, é fundamental tomar medidas eficazes de proteção, já que, em muitos casos, o ATO depende de uma falha humana, como uma senha repetida em vários sites, para fazer uma nova vítima.

Em vista disso, ter consciência digital é o primeiro passo para conseguir se proteger das várias ameaças que se escondem em cantos sombrios da internet. Apostar em autenticação de aplicativos, gerenciamento de senhas e monitoramento constante são táticas fundamentais para fugir das iscas ardilosas de um account takeover.

Leia também:

• Deep web vs dark web: Desmistificando o que existe nas "profundezas" da internet
• Keyloggers: o "espião" que grava tudo o que você digita e como se proteger
• O que é um ciberataque "living off the land"?