Cibersegurança: O que é um ataque de força bruta?
Ao contrário de muitas outras táticas usadas por malfeitores, os ataques de força bruta não dependem de vulnerabilidades em sites. Em vez disso, esses ataques dependem de usuários com credenciais fracas ou previsíveis para extraí-los. A simplicidade envolvida e a quantidade de alvos tornam os ataques de força bruta muito populares.
O que é um ataque de força bruta?
Os ataques de força bruta ocorrem quando um mau ator tenta uma grande quantidade de combinações em um alvo. Esses ataques frequentemente envolvem múltiplas tentativas de senhas de contas, na esperança de que uma delas seja válida. É como tentar todas as combinações possíveis em um cadeado, mas em uma escala muito maior.
As senhas não são o único recurso que pode ser submetido à força bruta: links e diretórios, nomes de usuário e e-mails são outros alvos comuns.
Qual é o propósito de um ataque de força bruta?
O objetivo de um ataque de força bruta é obter acesso a um recurso que de outra forma seria restrito a outros usuários. Pode ser uma conta administrativa, uma página protegida por senha ou simplesmente para enumerar e-mails válidos em um determinado site.
Obter acesso a uma conta válida pode significar comprometer todo o site, que os malfeitores podem usar como parte de sua rede de sites comprometidos.
Como funciona um ataque de força bruta?
O tipo mais comum de ataque de força bruta é um ataque de dicionário e envolve uma lista de credenciais, normalmente usando nomes de usuário e senhas comuns para obter acesso a contas administrativas. Normalmente, os ataques de dicionário genérico tentarão fazer login com as credenciais mais usadas, como “admin” e “123456”.
Qual é a aparência de um ataque de força bruta?
O bom senso é importante na identificação de tentativas de força bruta. Basicamente, se parecer que alguém está tentando fazer login em uma conta repetidamente e sem sucesso, é provável que seja uma tentativa de ataque de força bruta.
Os sinais podem incluir:
- O mesmo endereço IP tentando fazer login várias vezes sem sucesso.
- Muitos endereços IP diferentes tentando sem sucesso fazer login em uma única conta.
- Várias tentativas de login malsucedidas de vários endereços IP em um curto período de tempo.
Exemplos de ataques de força bruta
Ataques de força bruta podem adicionar você a uma botnet para incluí-lo em ataques DDoS. Outros exemplos incluem quando os invasores forçam suas credenciais para desfigurar um site.
Obter acesso a uma conta administrativa em um site é o mesmo que explorar uma vulnerabilidade grave. Os hackers tentarão lucrar com seu acesso, adicionando spam, distribuindo malware ou fazendo phishing em vítimas inocentes.
Vamos dar uma olhada em alguns dos tipos mais comuns de ataques de força bruta observados em sites modernos.
Tipos de ataques de força bruta
Em sua essência, a força bruta é o ato de tentar muitas combinações possíveis, mas existem muitas variantes desse ataque para aumentar sua taxa de sucesso.
Aqui estão os mais comuns:
1 – Ataque Simples de Força Bruta
Um ataque genérico de força bruta pode usar métodos diferentes, como tentar todas as senhas possíveis, uma de cada vez. Isso é comumente usado em arquivos locais, onde não há limites para o número de tentativas, já que outros ataques geralmente são mais bem-sucedidos em escala.
2 – Ataque de Dicionário
Este ataque usa uma lista de palavras e senhas comuns em vez de entrar aleatoriamente, construindo um “dicionário” de senhas possíveis e tentando através delas. Usar uma boa lista de senhas pode ajudar a melhorar as taxas de sucesso dos invasores, mas esses ataques geralmente exigem um grande número de tentativas contra possíveis alvos.
3 – Ataque Híbrido de Força Bruta
Um ataque híbrido usa tanto o ataque de dicionário quanto um padrão iterativo regular. Em vez de tentar literalmente todas as senhas, ele realizará pequenas modificações nas palavras de um dicionário, como adicionar números ou alterar a caixa das letras.
4 – Preenchimento de Credenciais ou Credential Stuffing
Com uma quantidade crescente de violações de dados, a reutilização de senhas é uma maneira fácil de comprometer contas específicas.
Os ataques de preenchimento de credenciais têm uma baixa taxa de sucesso e dependem principalmente de listas de nomes de usuário e senhas comumente encontradas em violações de dados. Os hackers usam essas listas para tentar fazer login com essas credenciais roubadas, enfatizando a importância de atualizar seu nome de usuário e senha caso seus dados tenham sido envolvidos em uma violação.
Confira também: Cibersegurança: como funciona o ataque de mass assignment?
Como prevenir ataques de força bruta
Como os ataques de força bruta não são uma vulnerabilidade em si, manter o software atualizado não é suficiente para se proteger. Aqui estão alguns métodos que você pode aplicar para evitar ataques de força bruta contra o seu site:
1 – Use senhas fortes
A força bruta depende de senhas fracas. Uma senha forte tornará muito mais difícil para os invasores adivinharem suas credenciais, especialmente se há um limite para o número de tentativas mal sucedidas que podem ser feitas antes que a conta seja bloqueada.
Uma senha forte possui as seguintes características:
- Única: você deve evitar reutilizar senhas, pois os sites serão comprometidos e as senhas serão quebradas. Ao reutilizar senhas, os invasores podem atingir você com mais facilidade usando suas credenciais comprometidas em outros sites.
- Longas: Senhas mais longas significam mais combinações possíveis antes de alcançá-las. Senhas de cinco caracteres são fáceis de decifrar em praticamente qualquer computador em poucos segundos, 10 caracteres levariam alguns anos e 20 caracteres levariam quase uma eternidade.
- Difícil de adivinhar: trechos de informações como seu próprio nome ou a cidade onde você mora podem tornar a senha mais fácil de lembrar, mas também é mais fácil adivinhar se alguém obtiver alguma informação sobre você. O mesmo vale para textos comuns, como “12345” ou “senha”, que são comumente usados em credenciais, pois são fáceis de lembrar.
Os mesmos princípios se aplicam às questões de recuperação. Se suas perguntas de recuperação forem fracas, mas sua senha for forte, pode ser fácil para os invasores redefinirem sua senha em vez de adivinhá-la.
2 – Restringir acesso a URLs de autenticação
Um requisito para ataques de força bruta é o envio de credenciais. Se você alterar o URL da página de login – por exemplo, mudando de /wp-login.php para /mysite-login – isso pode ser suficiente para interromper a maioria das ferramentas automatizadas e em massa.
Infelizmente, esta sugestão não funcionará em ataques avançados se o link for adivinhado ou visível na página, mas é uma maneira fácil de evitar ataques automatizados.
3 – Limitar tentativas de login
Os ataques de força bruta dependem da tentativa de múltiplas senhas e contas. Ao restringir as tentativas de login a um pequeno número por usuário, os invasores não poderão tentar mais do que algumas senhas.
Uma maneira comum de restringir as tentativas de login é proibir temporariamente um IP de fazer login após cinco tentativas de login malsucedidas, onde as tentativas subsequentes de login serão bloqueadas.
Veja também: Cibersegurança: Como fazer uma boa arquitetura de segurança para a sua empresa
4 – Utilize CAPTCHAs
Captchas são uma ótima maneira de evitar que bots e ferramentas automatizadas executem ações em seu site, oferecendo-lhes desafios antes mesmo de tentarem fazer login. Como o desafio foi projetado para ser resolvido por humanos, os robôs têm dificuldade em ultrapassá-los, o que bloqueia seus ataques.
5 – Use autenticação de dois fatores (2FA)
2FA adiciona outra camada de segurança ao seu formulário de login. Depois de fazer login com as credenciais apropriadas, você precisará inserir um código que só pode ser acessado por você, como um e-mail ou um código exclusivo gerado por uma ferramenta de autenticação.
Essa camada adicional evita que qualquer pessoa que tenha obtido suas credenciais com sucesso acesse sua conta sem uma autenticação secundária.
6 – Configurar restrições de acesso IP
Restringir o acesso IP é provavelmente a medida mais robusta que você pode tomar para proteger seu login confidencial e páginas de administração contra ataques de força bruta. Quaisquer solicitações que não sejam originadas de um endereço IP aprovado resultarão em um erro de resposta 403 Proibido ou em uma página de bloqueio de firewall.
Confira também: Segurança da informação: o que é ransomware?
Considerações finais sobre ataques de força bruta
Com todos os métodos avançados envolvidos nos golpes online atuais, é quase surpreendente saber que um dos mais comuns e bem-sucedidos tem um elemento distintamente humano. Evitar ataques de força bruta pode ser simplesmente uma questão de mudar seus hábitos online, como usar senhas mais fortes e não reutilizá-las, ou atualizar URLs fáceis de adivinhar.
Você também pode fazer um esforço extra em relação à segurança configurando a autenticação de dois fatores ou colocando seu site atrás de um firewall de aplicativo da web (WAF). Um firewall pode ajudar a impedir atores mal-intencionados, quando configurado corretamente, reduzir significativamente o risco de ataques automatizados ao seu site.
Aprenda a se proteger com os cursos da IBSEC!
A melhor defesa contra ataques de força bruta é o conhecimento e a preparação. Em nossos cursos de cibersegurança da IBSEC, ensinamos você a fortalecer suas defesas online de diversas formas.
Ao se inscrever em nossos cursos, você aprenderá a identificar as ameaças antes que elas atinjam você, a proteger seu site contra invasões e a manter seus dados seguros. Oferecemos uma variedade de treinamentos para todos os níveis de conhecimento, de iniciantes a profissionais experientes.
Não espere até que seja tarde demais. Invista na sua segurança online com os cursos da IBSEC. Visite nosso site e inscreva-se hoje mesmo para começar sua jornada rumo a uma internet mais segura!
