MADRI 8 dez. (Portaltic/EP) -
Os gerenciadores de senhas se estabeleceram como uma das ferramentas mais necessárias entre os usuários em seu dia a dia digital. No entanto, eles também são um dos alvos prioritários dos criminosos cibernéticos, que os expõem a riscos como campanhas de roubo de senhas por meio de phishing ou malware e a exploração de falhas de configuração, que deixam suas senhas vulneráveis.
A crescente complexidade da vida digital exige, na maioria das situações, a criação de uma conta pessoal para usar qualquer tipo de serviço on-line, composta por credenciais de nome de usuário e senha.
Na verdade, de acordo com um estudo realizado em 2024 pelo gerenciador de senhas NordPass, o usuário médio da Internet gerencia 68% mais senhas pessoais do que há apenas quatro anos, com uma média de 168 senhas.
Isso faz com que os usuários enfrentem situações desconfortáveis em que esquecem suas senhas e precisam alterá-las para acessar o serviço desejado, bem como situações perigosas de segurança cibernética, já que suas contas ficam muito mais vulneráveis, pois dependem da lembrança de senhas que geralmente não são muito fortes.
Nesse sentido, os gerenciadores de senhas são uma solução realmente útil, pois são ferramentas que permitem criar, armazenar e lembrar senhas para todos os tipos de serviços digitais. Além disso, eles oferecem um nível muito mais alto de segurança, com senhas longas, robustas e exclusivas para cada serviço e conta.
BAÚ DO TESOURO PARA AGENTES MAL-INTENCIONADOS
Em contraste com sua função essencial para qualquer usuário, os gerenciadores de senhas também se tornaram um dos principais alvos dos criminosos cibernéticos, que os veem como um baú de tesouro suculento e tentam abri-los por meio de campanhas direcionadas de roubo de senhas mestras, explorando falhas de configuração ou por meio de ataques de malware.
Como resultado, se os invasores obtiverem acesso às credenciais armazenadas em um gerenciador de senhas, eles poderão usá-las para cometer fraude de identidade, acessar determinados serviços com fins lucrativos ou vender o acesso ao gerenciador de senhas e, portanto, as senhas a terceiros, entre outras consequências.
Com tudo isso em mente, os usuários devem estar cientes de alguns problemas críticos ao usar seus gerenciadores de senhas para protegê-los contra ataques de agentes mal-intencionados, com até seis riscos de segurança identificados pela empresa de segurança cibernética ESET.
SEIS RISCOS DE SEGURANÇA
Em primeiro lugar, um dos principais riscos para os gerenciadores de senhas é o roubo da senha mestra, que deve ser evitado a todo custo. Isso ocorre porque a força desses sistemas está justamente em sua acessibilidade por meio de uma única senha mestra.
Como explica a ESET, se essa chave for comprometida, seja por ataques de força bruta, vulnerabilidades de software ou sites de phishing, "os atacantes obtêm acesso direto a todas as credenciais do usuário". Em outras palavras, eles conseguiram abrir o baú do tesouro.
Em uma linha relacionada, o phishing e os anúncios fraudulentos se tornam outro grande risco enfrentado pelos usuários, pois os criminosos virtuais publicam continuamente anúncios maliciosos em mecanismos de pesquisa que, na verdade, redirecionam para páginas da Web falsas criadas para capturar a senha mestra e o e-mail do usuário.
Para torná-los mais realistas e confundir ainda mais os usuários, os domínios usados por agentes mal-intencionados são uma imitação dos sites originais, com pequenas variações. Algumas dessas imitações são tão realistas que podem enganar usuários experientes.
Além da fraude e do engano, o malware especializado em roubo de senhas também está na ordem do dia. Ou seja, o uso de software mal-intencionado que, depois que o dispositivo é infectado, viola o serviço e rouba a senha.
Um exemplo disso é a recente operação norte-coreana "DeceptiveDevelopment", analisada pelos pesquisadores da ESET, na qual os cibercriminosos utilizaram o malware InvisibleFerret, capaz de exfiltrar dados de extensões de navegadores e gerenciadores como o 1Password ou o Dashlane via Telegram e o Protocolo de Transferência de Arquivos (FTP).
Nesse caso, o malware estava oculto em arquivos enviados durante falsos processos de recrutamento, mas em cada campanha os agentes maliciosos usam sua engenhosidade para espalhar o malware de forma furtiva, demonstrando que "a engenharia social continua sendo um vetor decisivo", como apontou a ESET.
Outro dos riscos que a empresa colocou sobre a mesa são as violações em provedores de gerenciadores de senhas, que mostram como até mesmo os provedores mais experientes em segurança cibernética podem ser vítimas de um incidente.
Por exemplo, o gerenciador de senhas LastPass foi vítima de duas violações de segurança em 2022 que permitiram que os invasores roubassem o código-fonte, a documentação técnica e os backups criptografados dos clientes.
Como resultado desses hacks, US$ 4,4 milhões em criptomoedas (cerca de € 4,16 milhões) foram vinculados ao roubo e ataques subsequentes em grande escala foram desencadeados, incluindo um roubo de criptomoedas avaliado em US$ 150 milhões, de acordo com a ESET.
Continuando com os riscos de segurança, a empresa apontou que, como qualquer software, os gerenciadores de senhas podem conter uma falha que, se encontrada por um ator malicioso, torna-se uma oportunidade para explorar a vulnerabilidade e, assim, permitir a extração de credenciais ou até mesmo códigos de autenticação em duas etapas.
Além disso, vale a pena observar que quanto mais dispositivos o usuário tiver sincronizado com a mesma conta do gerenciador de senhas, maior será a superfície de ataque que os criminosos cibernéticos poderão explorar.
Finalmente, a ESET também apontou que os aplicativos de gerenciamento de senhas falsos, que podem ser encontrados em plataformas confiáveis, como a App Store, são um risco a ser levado em consideração.
Esses aplicativos estão se tornando mais bem-sucedidos devido ao aumento de gerenciadores de senhas genuínos, no entanto, eles são projetados para roubar a senha mestra ou instalar malware nos dispositivos em que são baixados.
COMO PROTEGER SEU GERENCIADOR DE SENHAS
Diante de todas essas ameaças que atacam diretamente os gerenciadores de senhas, a ESET detalhou alguns pontos relevantes para minimizar os riscos.
Esse é o caso de garantir que os usuários criem uma senha mestra única, longa e segura. Por exemplo, quatro palavras unidas por hífens. Além disso, a autenticação multifator (2FA) deve ser sempre ativada nos serviços utilizados, para evitar o acesso não autorizado. Essa última pode impedir que os criminosos cibernéticos obtenham acesso, mesmo que tenham conseguido roubar as senhas.
Navegadores, sistemas operacionais e gerenciadores de senhas também devem ser mantidos "sempre atualizados", além de tentar baixar aplicativos somente de lojas oficiais e verificar o desenvolvedor.
Por fim, embora possa parecer óbvio, é preferível usar gerenciadores de senhas de fornecedores confiáveis e estabelecidos, além de instalar soluções de segurança em todos os dispositivos para bloquear malware que rouba credenciais.
"Os gerenciadores de senhas ainda são uma das melhores ferramentas para proteger nossas contas, mas devemos parar de pensar neles como infalíveis", advertiu o diretor de pesquisa e conscientização da ESET Espanha, Josep Albors, afirmando que "já não é suficiente usar um gerenciador, também é preciso protegê-lo".
Esta notícia foi traduzida por um tradutor automático