Dark background with blue code overlay
Blog

Acompanhe os botnets

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

Não é segredo que a pandemia global aumentou as oportunidades para que os agentes de ameaça e cibercriminosos visem o setor de serviços financeiros. Ao longo de 2020, os golpistas usaram a tensão econômica causada pela COVID-19, a promessa de assistência financeira e o estresse das dificuldades financeiras, para atingir pessoas em todo o mundo por meio de ataques de phishing

Acompanhar a velocidade com que esses ataques estão evoluindo adiciona outra camada de complexidade, especialmente agora que o phishing como serviço é um negócio pronto para uso. Por exemplo, os criminosos, usando um kit adquirido na Dark Web, empregam até mensagens SMS falsas de instituições financeiras para atrair vítimas desavisadas a compartilhar suas credenciais de login. Um desses kits, o Kr3pto, foi vinculado a mais de 4.000 campanhas de phishing por SMS, visando os clientes dos principais bancos dos EUA e do Reino Unido.

Por sua vez, os autores desses ataques de phishing negociam, vendem e exploram credenciais roubadas, que, combinadas com dados roubados em violações em grande escala, impulsionaram o crescimento exponencial dos ataques de credential stuffing. Milhões de novos nomes de usuário e senhas, vinculados a vários incidentes notáveis desde o início da pandemia, começaram a circular na Dark Web em vários fóruns. Uma vez em circulação, eles são classificados e testados contra as principais instituições financeiras e uma infinidade de marcas na internet. Infelizmente, esse método ainda explora com eficiência o fato de que a maioria dos usuários tende a usar as mesmas credenciais em mais de uma plataforma.

O relatório State of the Internet (SOTI) da Akamai de 2021 revela que ocorreram 193 bilhões de ataques de credential stuffing em todo o mundo em 2020. Em maio de 2020, duas datas se destacaram: em 9 de maio, o abuso de credenciais atingiu um pico de 786.882.475 de ataques globalmente. Cinco dias depois, em 14 de maio, o setor de serviços financeiros observou seu próprio pico recorde: 47.698.955 de ataques. Dados de credential stuffing publicados em nosso relatório SOTI mais recente mostraram que o volume de ataques permaneceu estável em 2021, com quedas e picos nos dois primeiros trimestres, seguidos por dois ataques notáveis em janeiro e maio. Nessas datas, o tráfego de ataque de credential stuffing ultrapassou a marca de 1 bilhão de ataques em um único dia (veja o gráfico abaixo).

botnet1.png

Botnets criam uma bonança global de credential stuffing

Para um CSO de serviços financeiros, duas coisas permanecem em mente: a segurança das informações de identificação pessoal (PII) dos clientes e a disponibilidade de serviços digitais 24 horas por dia, 7 dias por semana. Ambas são essenciais para a retenção de clientes e para o cumprimento das exigências dos reguladores. Os ataques de credential stuffing ameaçam a segurança das PIIs e podem até evoluir para ataques DDoS que interrompem a disponibilidade.

Veja este exemplo de um grupo de serviços financeiros da Global 500. Um dia, seu website de pensões, que normalmente processa 20.000 tentativas de login inválidas por dia, começou a receber 50.000 tentativas de login inválidas a cada cinco minutos. Durante o ataque, a infraestrutura teve dificuldades enquanto os usuários passaram por encerramentos de sessão ou não foram capazes de acessar suas contas. A pior parte foi que os receios de seus clientes eram verdadeiros: eles não conseguiam fazer login porque alguém estava tentando invadir suas contas. 

Por mais que os bancos e outras instituições incentivem os clientes a alterarem suas senhas regularmente, as pessoas resistem e também persistem em usar as mesmas credenciais de login em várias contas online (varejo, bancos, serviços públicos). Mesmo após um anúncio de violação de dados, apenas cerca de um terço dos usuários costumam alterar suas senhas, de acordo com um estudo de 2020 publicado pelo Instituto de Segurança e Privacidade da Carnegie Mellon University (CyLab). Essa apatia favorece os invasores. Essencialmente, dois terços de suas credenciais roubadas provavelmente funcionarão em outros websites, especialmente quando você considerar que os criminosos refinarão a lista de combinações com várias fontes para gerar novas senhas se as combinações originais não funcionarem. 

Os bancos são um alvo particularmente atraente para esse esforço incansável de apropriação de contas. Mais de 3,4 bilhões desses ataques de 2020 ocorreram no setor financeiro, representando um aumento de 45% em relação a esses ataques em 2019. Em uma grande campanha de credential stuffing, uma instituição financeira foi bombardeada com 55.141.782 tentativas de login malicioso. Esse ataque foi o maior aumento no abuso de credenciais direcionado que a Akamai observou contra uma organização de serviços financeiros desde que começamos a rastreá-los. 

Escolher uma solução de gerenciamento de bots para evitar ou mitigar ataques

Botnets automatizados tentam validar centenas de milhares de credenciais de usuários em websites bancários, reutilizando aquelas que funcionam para assumir o controle de contas, solicitar empréstimos fraudulentos e fazer saques. (Às vezes, eles vão direto para a etapa três.) Deter esses ataques não é simples: as informações de login são legítimas; a entidade que tenta autenticar não é. 

Como provedor de segurança, vimos até 300.000 tentativas de login fraudulentas por hora de um único botnet, resultando potencialmente em perda de dinheiro, privacidade e (o pior de tudo) confiança do consumidor. De acordo com uma pesquisa do Ponemon Institute, o custo total associado ao credential stuffing, incluindo perdas por fraude, segurança operacional, tempo de inatividade das aplicações e rotatividade de clientes, pode variar de US$ 6 milhões a US$ 54 milhões por ano."

A capacidade de impedir ataques de credential stuffing depende em grande parte da seleção correta de ferramentas. Embora a maioria das soluções seja projetada para distinguir bots de agentes legítimos, há duas questões importantes a serem consideradas: 

  • Com que eficiência a solução acompanha a evolução dos botnets 
  • Qual o seu nível de eficácia em garantir o mínimo de interrupção na jornada do cliente

Qual o nível de sofisticação dos bots e com que velocidade eles sofrem mutações?

Devido às oportunidades significativas, o credential stuffing atrai alguns dos hackers mais sofisticados, resultando em bots altamente sofisticados. Portanto, é essencial obter uma compreensão detalhada do cenário atual de bots em seu setor e das tecnologias de detecção de bots disponíveis. A solução certa será aquela que pode detectar os bots mais sofisticados que você provavelmente verá. 

Bots sofisticados sofrem mutações. Muitas soluções de gerenciamento de bots podem detectar a maioria dos bots inicialmente, mas perdem essa capacidade à medida que os bots começam a sofrer mutações. Isso acontece quando os invasores percebem que você identificou seu bot e imediatamente descobrem como contornar sua solução atualizando seu software. Os bots que sofreram mutações agora podem evitar a detecção original e ser implantados novamente. Portanto, as soluções devem ser igualmente sofisticadas e devem implantar tecnologias de detecção de bots, como a análise do comportamento do usuário, que permanece eficaz à medida que os bots sofrem mutações. 

A capacidade de geração de relatórios é outro fator crítico aqui. A capacidade de ampliar bots, botnets ou características de bots específicos fornece informações rápidas e confiáveis ​​sobre o que você está lidando. Sem uma visão clara, suas respostas serão abaixo do ideal. 

Negue os logins de bots sem afetar negativamente os logins de clientes 

mais clientes bancários realizando transações on-line e móveis do que nunca, graças à pandemia. Os volumes de tráfego da Web para um cliente de serviços financeiros da Akamai aumentaram drasticamente após o confinamento de março de 2020 e, agora, mais de um ano e meio depois, os comportamentos bancários digitais se tornaram o novo normal do setor. Isso significa que é ainda mais importante selecionar soluções de segurança que funcionem com a jornada do cliente da forma mais simples possível. 

Controles onerosos de captcha, por exemplo, tendem a interromper seriamente essa jornada, criando o tipo de frustração que pode, sutilmente, começar a mudar a fidelidade. (Quem gosta de ficar preso em um loop tendo que encontrar todas as faixas de pedestres depois de não identificar todas as fotos com um avião?) Uma solução de autenticação (multifator) de fácil utilização que funciona em um ambiente protegido por uma ferramenta discreta de gerenciamento de bots funciona bem para identificar positivamente os usuários e eliminar bots ruins, sem adicionar complexidade para o usuário. 

Além disso, com a tecnologia avançada de aprendizado de máquina e a análise de anomalias comportamentais contra essas ameaças mais sofisticadas, é possível ter mais precisão. Quanto mais afinado for o algoritmo, mais precisa será a análise, maior será sua capacidade de evitar impactos no desempenho e eliminar falsos positivos.

A Akamai oferece mais critérios para a seleção das ferramentas certas para fortalecer sua base de segurança sem interferir na jornada do usuário. Atingir esses objetivos juntos ajudará a manter a confiança e a fidelidade de seus valiosos clientes e atrairá novos. Botnets são implacáveis, mas você pode vencer.

Leia mais sobre o que a Akamai ajuda a tornar possível para empresas de serviços financeiros.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.