Skip to main content

O Brasil é um dos países que mais sofrem com ataques cibernéticos no mundo, entre eles um tipo comum por aqui é o ataque de força bruta. Para se ter ideia, segundo informações do Data Breach Investigations Report, 80% dos vazamentos de dados recentes que tivemos foram realizados por ataque de força bruta.

Além disso, no ano passado, mais da metade das pequenas e médias empresas brasileiras foram vítimas de ataque cibernético, nas modalidades phishing e roubo de dados,  segundo a Capterra

Já uma pesquisa do Sebrae com a FGV  indica que o principal motivo das empresas serem alvo de  hackers é a pouca infraestrutura de TI focada em cibersegurança.

Esse panorama demonstra que, apesar de termos avançado na corrida da transformação digital, ela vem sendo feita sem considerar a segurança digital como prioridade nesse processo. 

Mesmo com o aumento de ataques e a fiscalização rigorosa da LGPD, o investimento em segurança digital ainda é pequeno diante da urgência que o tema tem, sendo apenas 2% do orçamento geral do negócio dedicado a isso.

Diante disso, o objetivo deste texto é falar melhor dos riscos dos ataques cibernéticos de força bruta, apresentando suas variações e as formas de evitá-las no ambiente corporativo.

Boa leitura!

O que é um ataque de força bruta?

O ataque de força bruta é um termo que define um tipo de invasão de dados com o objetivo de roubar senhas e dados pessoais. Esse tipo de ataque ocorre quando o hacker utiliza um processo de tentativa e erro intenso para quebrar uma senha.

O método é bem antigo e pode levar segundos ou dias para ter êxito. Os ataques são realizados com uso de scripts ou programas que automatizam solicitações para o login na aplicação, enviando combinações de nomes de usuário e senhas, até que uma delas seja a correta e libere o acesso.

As finalidades da invasão podem ser diversas, mas principalmente dados sensíveis dos usuários e de empresas.  Nesses cenários, cibercriminosos usam esse tipo de ataque para incluir mais anúncios em sites ou roubar dados confidenciais, com uso de phishing, por exemplo.

Os crackers – softwares de tentativa de acerto de senha – são facilmente encontrados na internet e podem ser usados por qualquer pessoa mal intencionada,o que exalta a necessidade de reforçar a segurança digital de senhas e sites.

Outra possibilidade do ataque de força bruta acontecer é por meio da exploração de funcionalidades disponíveis em áreas não autenticadas, uma vez que elas são mais vulneráveis a esse tipo de ataque e podem causar prejuízos enormes a usuários e empresas. 

Como é realizar um Brute-force attack?

Como não existe apenas uma forma de realizar o ataque de força bruta, é importante estar ciente como os hackers atuam:

#1 Ataque de força bruta simples

Esse tipo de ataque não exige muito conhecimento de computação do criminoso. O processo se dá com a experimentação manual de combinação de palavras, caracteres, números e letras até que ele obtenha sucesso. 

Assim, senhas simples estão mais ameaçadas, enquanto que senha complexas e longas não costumam ser quebradas no ataque simples. Ele pode ser feito manualmente ou com auxílio de software.

Senhas previsíveis como números sequenciais, datas de aniversário e nome de usuário são os alvos desse tipo de ataque.

#2 Ataques de Dicionário

Este tipo de ataque é aplicado em casos de senhas mais complexas, como o uso de palavras aleatórias que não são facilmente associadas a dados pessoais ou nome próprio do usuário.

O uso dessa estratégia em senhas de acesso pode impedir o ataque de força bruta simples, pois diante da dificuldade, o invasor poderá desistir, mas a técnica do ataque dicionário consegue quebrar a senha em segundos.

Ele é feito com o auxílio de dicionário digital ou lista de palavras, onde a palavra-chave é descoberta depois de uma série de combinações com as palavras contidas no dicionário, aplicando variações de grafias e até escrita em outros idiomas.

#3 Ataque de força bruta híbridos

Já este ataque, como o nome sugere, reúne duas formas de quebrar senhas: simples e dicionário.

Neste caso, as senhas comuns são misturadas com as palavras do dicionário, além de caracteres aleatórios, criando um banco de senhas bem maior para utilizar nos ataques. 

Dessa forma, senhas como G4t@ podem estar seguras nos ataques Simples e Dicionário, mas em um ataque híbrido elas estão vulneráveis.

Esse tipo de ataque é um pouco mais elaborado e o cibercriminoso pode ter listas de palavras compradas, além de ter informações específicas sobre a vítima, como dados demográficos, noções de comportamento. Assim, ele consegue configurar o ataque para centrar nas combinações que correspondam a tais elementos. 

#4 Ataque vertical

O ataque vertical é um tipo de técnica que visa autenticar o maior número de tentativas de senhas diferentes para o mesmo login do usuário e quando obtém sucesso, passa para o usuário seguinte, no mesmo processo. Assim, ele segue uma sequência de tentativas para diversos logins.

 Esse tipo de ataque é bem sucedido em sistemas de segurança que não restringem o número de tentativas de autenticação.

#5 Ataque horizontal

Já este tipo de ataque tem uma ação mais discreta e consiste em testar a mesma senha em usuários diferentes. Com isso, é possível que o hacker tenha êxito em sistemas que tenham um acesso mais restrito, com limitação de tentativas, por exemplo.

Existem listas disponíveis  na internet com um conjunto de senhas que são comumente utilizadas. Com isso, o hacker consegue quebrar acessos de diversos usuários com a mesma senha, quando o usuário usa uma senha fraca e comum.

#6 Selenium Webdriver

Trata-se de um framework com testes de aplicação que permite uma simulação de interação de usuário com elementos da página. O hacker consegue escrever scripts para enviar comandos ao navegador. 

Com isso, ele consegue controlar o navegador remotamente e acessar dados senhas que estejam salvas no computador, por exemplo.

Como minimizar as chances de se tornar uma vítima?

Vimos que os ataques de força bruta podem ser realizados de diversas formas e em diferentes escalas. Para cada nova maneira de definir uma senha mais forte, existe uma  técnica mais avançada de ataque.

Ainda assim, é possível criar estratégias e adotar boas práticas de segurança para proteger seus dados pessoais de acessos dos ataques de força bruta.  

1- Fortaleça as senhas

Independente do tipo de senha que seja aceita no aplicativo ou site que você tem cadastro, opte sempre por senhas mais fortes e que sejam difíceis de serem descobertas em qualquer uma das técnicas de ataque. 

No caso de sites que não permitam senhas tão longas, priorize senhas mais complexas que exijam mais combinações possíveis para serem decifradas. Além disso, o usuário pode trocá-la periodicamente.

2- Ative a ativação em duas etapas

Para reforçar a segurança, alguns sites e aplicações trabalham com autenticação em dois fatores. Verifique se essa função está disponível no serviço que você consome, ative-a, pois por mais que o hacker descubra sua senha, ele não conseguirá acessar o app por não ter a impressão digital ou estar com o celular do usuário para receber o código de verificação, por exemplo.

3- Faça Backup dos dados

No caso das empresas, além de toda essa questão da segurança das senhas, é importante realizar backup de todo dado produzido. Com isso, por mais que o hacker obtenha êxito no roubo de dados. As cópias estarão disponíveis para a empresa seguir com a atividade, enquanto revisa e reforça a segurança na rede.

4- Limite o acesso

Outra forma de conter as invasões e hackeamento de dados na empresa é restringir o acesso a dados críticos da corporação. Com um serviço de nuvem, é possível criptografar mensagens que serão acionadas com senhas específicas de conhecimento só de quem é responsável ou precisa acessar aquele ambiente.

Próximos passos

Vimos, neste material, que os ataques do tipo força bruta são bem comuns e têm crescido muito ao passo que cresce o acesso à internet e a migração de serviço para o ambiente digital. 

Os ataques cibernéticos são uma preocupação das empresas que precisam proteger seus ativos críticos.  Além de adotar tecnologias que garantam a segurança dos sistemas, sites e aplicativos, é preciso implantar também uma política de segurança digital, orientando e treinando funcionários e colaboradores sobre o acesso responsável da rede corporativa.

Também recomenda-se adotar boas práticas na escolha de senhas, ativação de autenticação em mais de uma etapa, restrição de acesso à rede e backup dos arquivos. Com todas essas medidas, a empresa consegue proteger seus dados de cibercriminosos. Do contrário, a empresa pode perder clientes, perder espaço de mercado e ser duramente punida pela LGPD com risco de ter seus serviços suspensos. 

Os ataques de cibersegurança também são ocorrência comum, quando a empresa não tem uma equipe TI estruturada ou a quantidade de colaboradores e investimento é insuficiente. Se essa é a situação do seu negócio, neste material, identificamos quando a empresa precisa terceirizar o TI