Uma das medidas mais importantes para evitar o roubo de passwords passa por compreender como é que os cibercriminosos podem ter acesso aos dados críticos do utilizador. Uma vez que as técnicas de ataque continuam a evoluir e a tornar-se mais sofisticadas, a Fortinet partilha algumas técnicas a ter em conta:
· Social engineering attacks: Ataques como phishing através de emails e mensagens, onde os utilizadores são enganados para fornecerem as suas credenciais, ao aceder a ligações ou anexos maliciosos ou sendo direcionados para websites maliciosos.
· Dictionary attacks: O atacante utiliza uma lista de palavras comuns, chamadas de dicionário, para tentar obter acesso às passwords, antecipando que os utilizadores tenham utilizado palavras comuns ou passwords curtas. A sua técnica também inclui a inclusão de números antes e/ou depois das palavras comuns pelo simples facto de os utilizadores pensarem que a inclusão de números torna a password mais complexa de adivinhar.
· Brute force Attack: Uma abordagem em que os adversários produzem passwords e conjuntos de caracteres aleatórios para adivinhar repetidamente as passwords e verificá-las em relação a um hash criptográfico disponível da password.
· Password Spraying: Uma forma de ataque de força bruta que visa múltiplas contas. Num ataque de força bruta tradicional, os adversários tentam múltiplas opções de password numa única conta, que muitas vezes leva ao bloqueio desta. Com a password spraying, o adversário tenta apenas algumas das passwords mais comuns, contra múltiplas contas de utilizadores, tentando identificar o utilizador que está a utilizar uma password predefinida ou fácil de adivinhar.
· Key logging attack: Ao instalar o software de registo de passwords no equipamento da vítima através de alguma forma de ataque de phishing, por email, o adversário pode capturar o nome e as passwords para as várias contas do utilizador.
· Traffic Interception: Os criminosos utilizam software como packet sniffers para monitorizar e capturar o tráfego da rede que contém informação sobre passwords. Se o tráfego não estiver encriptado ou utilizar algoritmos de encriptação fracos, então a captura das passwords torna-se ainda mais fácil.
· Man-in-the-middle: Neste cenário, o atacante insere-se entre o utilizador e o website ou aplicação pretendida, geralmente fazendo-se passar por esse website ou aplicação. Desta forma, captura então o nome de utilizador e a password que o utilizador introduz no site falso. Muitas vezes os ataques de phishing por email levam as vítimas insuspeitas a estes sites falsos.
Como podem os utilizadores impedir que as passwords sejam roubadas? Os utilizadores podem adotar uma série de táticas para assegurar que as suas informações pessoais não são roubadas através das técnicas acima referidas. Estas devem incluir: passwords fortes, autenticação multi-factor e capacidades de single sign-on. Para além destas, uma forte educação sobre cibersegurança é fundamental para que o utilizador se consiga proteger a si, à sua família e ao seu empregador – para isso, a Fortinet disponibilizou os cursos de formação gratuitos Fortinet’s Network Security Expert (NSE) 1 e NSE 2, que podem ajudar a educar indivíduos de qualquer idade sobre como se manterem seguros. Com os programas Fortinet's Training Advancement Agenda (TAA) e NSE Training Institute, a Fortinet continua a trabalhar para colmatar a lacuna de competências com formação e certificações, oportunidades de carreira e parcerias chave.