O que é exatamente um ataque de força bruta?
Um ataque de força bruta é um tipo de ataque cibernético no qual o hacker usa a tecnologia para enviar várias senhas para tentar adivinhar a senha ou o código de criptografia correto a fim de conseguir acesso não autorizado a um sistema. Os invasores atingem seu objetivo experimentando sistematicamente o maior número possível de combinações de senha até acertarem a combinação correta de caracteres.
Quanto tempo demora um ataque de força bruta?
O tempo para decifrar uma senha depende da força dela e da tecnologia usada pelo hacker. Os hackers podem decifrar senhas fracas em questão de segundos, enquanto senhas mais longas e complexas podem levar anos para serem decifradas. Há um número finito de combinações de caracteres para cada comprimento de senha, e computadores modernos podem fazer centenas de bilhões de tentativas de acesso por segundo.
As senhas que contêm mais caracteres e com maior variedade (por exemplo, letras, número e símbolos) são mais difíceis de decifrar. Por exemplo, se sua senha contém sete letras, um hacker poderia decifrá-la em alguns segundos. No entanto, aumentar tal senha para 18 caracteres poderia ampliar esse tempo para aproximadamente 500.000 anos com a tecnologia atual.
Não obstante, “tecnologia atual” é um importante problema. Quanto mais avançada a tecnologia à qual os hackers têm acesso, mais aperfeiçoados vão se tornando seus métodos. Cada ano, eles podem usar ataques de força bruta para decifrar senhas mais complexas mais rapidamente. Por essa razão, é tão importante atualizar as senhas regularmente e torná-las mais fortes.
Um ataque de força bruta é ilegal?
Os ataques de força bruta não são ilegais em si mesmos. São uma ferramenta altamente valiosa para determinar a força das senhas e as empresas a usam geralmente para melhorar seus recursos de segurança cibernética.
No entanto, os ataques de força bruta passam a ser ilegais quando usados como método de invasão para acessar dados sem permissão. O acesso a dados sem permissão é ilegal, mesmo se você decifrar a senha para acessá-los.
É o mesmo que arrombar um cofre, que não se trata de um ato ilegal em si. Você pode comprar um cofre e arrombá-lo diariamente ou pode arrobar o cofre de outra pessoa com sua permissão. Mas, se arrombar um cofre e roubar o conteúdo dele, você está cometendo um ato ilegal.
Tipos de ataques de força bruta
Há cinco tipos comuns de ataques de força bruta: ataques simples, ataques de dicionário, ataques híbridos, ataques reversos e preenchimento de credenciais.
Ataques simples de força bruta
Os ataques simples de força bruta analisam sistematicamente combinações de palavras, letras e caracteres até decifrarem uma senha. Esses ataques exigem pouco poder de computação e engenhosidade. São tão fáceis que podem ser feitos manualmente, embora sejam mais demorados, obviamente.
Isso significa que senhas longas e complexas estão fora do âmbito dos ataques simples, que se limitam normalmente a variações de senhas mais comuns e previsíveis.
Um bot pode decifrar facilmente uma senha previsível, sendo que as piores senhas são aquelas com números sequencias (123456), nome ou data de aniversário de alguém ou senhas evidentes (e ainda inacreditavelmente populares).
Ataques simples de força bruta decifram facilmente senhas simples.
Os ataques simples de força bruta ainda são eficazes porque muitos usuários não percebem o perigo de usarem senhas simples. Outras pessoas podem optar por arriscar a segurança com senhas simples, em vez de se preocupar em memorizar senhas mais longas e complexas. Porém, você não precisa lembrar das senhas se usar um bom gerenciador de senhas.
Ataques de dicionário
Os ataques de dicionário usam um dicionário digital ou uma lista de palavras para atacar senhas mais vagas. Esses ataques tentam adivinhar a senha analisando cada palavra, combinações comuns de tal palavra com outras palavras, variações na ortografia e palavras em vários idiomas.
Escolher uma palavra mais vaga como senha pode proteger você contra ataques simples de força bruta, mas não o protegerá contra ataques de dicionário. Se usar um única palavra como senha, um ataque de dicionário de força bruta pode decifrá-la em questão de segundos.
Ataques híbridos de força bruta
Ataques híbridos de força bruta combinam simples híbridos de força bruta e ataques de dicionário. Senhas comuns são combinadas com palavras do dicionário e caracteres aleatórios a fim de criar uma extensa base de dados de combinações de senhas a serem testadas. Uma senha como “p@$$w0rd” pode enganar ataques de dicionário, mas oferece pouca proteção contra um ataque híbrido.
Hackers que usam ataques híbridos personalizarão a estratégia de ataque, em vez de simplesmente tentar uma palavra por vez. O invasor conhece as combinações de palavras prováveis com base em listas de palavras (talvez compradas na dark web), dados demográficos do alvo e conhecimento geral do comportamento humano. Ele então configura o ataque para priorizar essas combinações.
Ataques reversos de força bruta
Os ataques reversos de força bruta tentam decifrar o nome do usuário, em vez da senha. Quando senhas comuns vazam online devido a violações de dados, é mais fácil inserir a senha e descobrir os nomes de usuário. Muitos usuários usam a mesma senha, portanto, um ataque reverso pode permitir que os hackers consigam acessar muitas contas.
Muitas pessoas não levam em consideração a segurança dos seus ID de login, o que torna a invasão por força bruta de nomes de usuários mais simples e lucrativa do que possa parecer.
Preenchimento de credenciais
O preenchimento de credenciais ocorre quando um hacker obtém seu nome de usuário e sua senha de um site e tenta fazer login com as mesmas credenciais ou credenciais semelhantes em outros sites. Em vez de um ataque de força bruta que visa uma senha ou nome de usuário, ele tenta descobrir por força bruta os locais em que a senha ou o nome do usuário é usado. Por essa razão, é preciso ter cuidado ao salvar senhas no navegador.
Se você usa a mesma senha ou nome de usuário em vários sites, caso uma de suas contas seja prejudicada, as outras também serão. Além de usar senhas exclusivas para cada conta, considere reforçar sua segurança com software antivírus.
O Avast Free Antivirus ajuda a proteger contra problemas de segurança, desde senhas vazadas e plugins suspeitos a malware e outras ameaças. Se o Avast detectar que suas senhas de e-mail foram expostas, você receberá um alerta para ajudar a proteger sua conta imediatamente. Adquira hoje mesmo uma poderosa proteção contra hackers.
Ferramentas usadas para ataques de força bruta
As tentativas manuais de força bruta contra todas as senhas, exceto as senhas fracas, são muito demoradas. Mas, os hackers desenvolveram uma série de ferramentas automatizadas para ajudá-los a decifrar senhas com maior facilidade. Qualquer pessoa com um pouco de conhecimento técnico pode usar uma ferramenta de descriptografia de força bruta, que é um tipo de software que realizar ataques de força bruta.
Veja abaixo alguns dos principais softwares especializados de ataque de força bruta usados por hackers:
Tipos de software de ataque de força
-
Ferramentas que visam senhas fracas
Ao usar ferramentas que identificam e testam primeiro senhas mais fáceis e óbvias, os hackers normalmente não precisam recorrer a métodos mais exigentes.
-
Crackers de wi-fi
As ferramentas de quebra de wi-fi analisam a segurança da rede wi-fi e coletam dados que permitem atacar redes visadas de forma mais eficaz.
-
Funções de hash
Os métodos de criptografia baseados em algoritmo conhecidos como funções de hash criam senhas longas e aleatórias que podem ser usadas pelas ferramentas de invasão para adivinhar seus resultados.
-
Bots de dicionário
Através de ataques de dicionário, as ferramentas de força bruta podem descobrir senhas de uma única palavra em um piscar de olhos.
Ferramentas comuns de ataque de força bruta
-
John the Ripper
Trata-se de uma ferramenta de quebra de senha de código aberto que pode executar diferentes tipos de ataques, como ataques de dicionário.
-
Hashcat
Hashcat é uma ferramenta avançada de quebra de senha que pode executar diferentes tipos de ataques, como ataques de dicionário e híbridos.
-
Rainbow Crack
Essa ferramenta reduz o tempo necessário para decifrar senhas usando tabelas arco-íris pré-computadas de hashes de senha revertidos.
-
Aircrack-ng
Aircrack-ng é um conjunto de ferramentas desenvolvido para analisar a segurança da rede wi-fi e seu principal objetivo é ajudar a profissionais de segurança e hackers éticos a testar uma rede. Esse conjunto inclui uma ferramenta que tem como objetivo decifrar senhas wi-fi repassando senhas comuns com a esperança de invadir a rede.
Um típico hacker solitário do tipo que fica trancado no quarto talvez não possa se permitir uma ferramenta de quebra de senha de primeira linha nem a potência de computador necessária para executá-la. No entanto, a definição de hacker tem mudado com o passar do tempo. Atualmente, muitos criminosos cibernéticos pertencem a organizações bem financiadas e fortemente organizadas com acesso às principais técnicas de quebra de senha disponíveis.
Por que os criminosos cibernéticos usam ataques de força bruta?
Existem muitos motivos por trás dos ataques de força bruta. Muitos hackers ou cibercriminosos usam ataques de força bruta contra sites para inserir mais anúncios ou roubar dados pessoais confidenciais por meio de ataques de phishing. Uma pessoa vingativa pode usar um ataque cibernético de força bruta para destruir a reputação de um site.
Um cracker de senha de força bruta é um software que testa repetidamente senhas até encontrar a correta, e pode ser encontrado gratuitamente online. Isso significa que qualquer pessoa vingativa ou com tempo disponível pode fazer uma tentativa. Assim, o motivo e a intensidade dos ataques variará. Os ataques graves de força bruta podem assumir o controle de todo um sistema.
Após analisar os exemplos de ataques de força bruta mais comuns, vamos analisar alguns motivos pelos os hackers usam essas técnicas.
A oportunidade de explorar páginas da Web ocultas
Ataques de hackers de força bruta podem revelar muito mais do que senhas e nomes de usuário. Ao atacar endereços de página da Web com força bruta, os invasores podem obter acesso a páginas ou diretórios da Web que, de outra forma, permaneceriam ocultos da exibição pública.
Essas páginas da Web são geralmente configuradas por motivos técnicos ou pessoais, ou foram criadas e depois esquecidas. Em ambos os casos, eles podem ter menor segurança do que os sites destinados ao público em geral. Elas são provavelmente mais vulneráveis a explorações de computador maliciosas, malware perigoso como cavalos de Troia, injeções de SQL e outras ameaças nefastas.
Se um hacker puder invadir por força bruta uma página da Web oculta, ele poderá instalar uma porta dos fundos para o site principal.
Lucro de anúncios
Ao obter acesso ilegal a sites, os hackers podem enviar anúncios como spam aos visitantes, para ganhar dinheiro a cada clique ou visualização. Os hackers também podem redirecionar o tráfego para sites ilegítimos cheios de anúncios ou para sites de pharming disfarçados de sites reais.
Ao explorar modelos de negócios de publicidade e forçar as pessoas a ver e enfrentar cascatas de anúncios, os hackers podem lucrar com o spam.
Espalhar malware
Os ataques de força bruta costumam ser usados para espalhar vírus e outros malwares por todo o sistema. O tipo de malware usado pelo hacker determina se ele pode acessar dados confidenciais, como sua lista de contatos e localização.
Ao instalar adware o dispositivo, o hacker pode enviar spam de anúncios e ganhar dinheiro quando você os visualiza. Os hackers também podem fazer um ataque de força bruta em um site e instalar nele um malware que infecta qualquer pessoa que o visite.
O Avast Free Antivirus pode ajudar a proteger contra ameaças inesperadas. Nosso Módulo Internet ajuda a bloquear downloads de malware conhecido no PC durante a navegação online, enquanto o Módulo Arquivo analisa arquivos desconhecidos antes que eles cheguem até você e coloca imediatamente em quarentena aqueles que forem maliciosos.
Isso significa que o Avast Free Antivirus ajudará a impedir ataques maliciosos no computador, mesmo se eles vierem de domínios confiáveis que foram comprometidos por um ataque de força bruta. Além disso, nosso recurso integrado Escaneamento Inteligente corrigirá as falhas da sua segurança online, ajudando a monitorar todas as configurações e complementos quanto a possíveis exposições.
Precisa de mais proteção ainda contra ataques de força bruta? Confira o Avast Premium Security, que pode ajudar a bloquear automaticamente tentativas de força bruta no seu dispositivo com nosso Módulo Acesso Remoto integrado.
Roubar dados
Ao conseguir acesso a sites, os hackers podem rastrear os dados de navegação do usuário para vender a terceiros. Suas informações são valiosas para anunciantes que querem vender produtos para você, para empresas de análise que ajudam os sites a otimizar modelos de negócios e para data brokers que querem vender dados pessoais ou agregados a compradores interessados.
Baixar e usar um cracker de senha de força bruta é tão simples que há poucas desvantagens para um hacker sem sorte. Big data significa grandes lucros atualmente.
Claro, qualquer pessoa que roubar seus dados também pode usá-los para si mesma. Por exemplo, com um ataque de força bruta, o hacker pode inserir spyware para coletar dados pessoais, que podem ser usados para doxxing ou para cometer roubo de identidade.
Sequestrar sistemas
Depois de uma invasão de força bruta bem-sucedida, os hackers podem infectar seu dispositivo com ransomwares que sequestram seus arquivos ou até mesmo bloqueiam completamente o acesso ao seu dispositivo. Depois de assumir o controle, os hackers podem iniciar a extorsão para que você envie dinheiro, com ameaças de que vão destruir os arquivos ou publicar informações sigilosas.
Ransomwares, como o Petya e o Wannacry, podem criptografar os arquivos até que eles sejam pagos. Mesmo assim, não há garantia de que você recuperará os dados.
Como evitar ataques de força bruta
Implementar uma boa higiene cibernética é a melhor forma de se proteger contra ataques de foça bruta. Ter melhores hábitos em relação a senhas, usar autenticação de dois fatores e usar um software de segurança online podem contribuir muito para ajudar a proteger você contra tentativas de invasão por força bruta.
Veja como impedir que ataques de força bruta tenham sucesso:
Senhas complexas
Escolher uma senha segura é sua primeira linha de defesa contra um ataque de força bruta. Defina senhas exclusivas para todas as suas contas e as armazene com segurança com um gerenciador de senhas fortes. Quanto mais longa e complexa for a senha, melhor.
Você já deve ter percebido que os sites perguntam se quer que eles gerem uma senha segura para você. Trata-se de um jeito fácil de gerar sequências aleatórias de letras, números e símbolos, que podem aumentar significativamente a segurança da senha.
Se preferir criar sua própria senha, evite usar identificadores comuns como seu time de futebol, o nome de sua cidade ou qualquer outra informação que possa ser obtida de suas informações pessoais básicas.
Por último, crie sempre senhas diferentes para cada uma de suas contas. Muitas pessoas usam a mesma senha em vários sites porque ter de lembrar a senha é muito chato. É possível evitar esse problema e criar senhas difíceis de decifrar com um gerenciador de senhas seguro, que gera e armazena automaticamente as senhas para você.
Autenticação multifator
A autenticação multifator (MFA) e a autenticação de dois fatores (2FA) exige que você acesse com pelo menos dois tipos diferentes de credenciais.
São exemplos disso os itens de uso único que você precisa ter em sua posse ao realizar o acesso, como um código de uso único enviado através de mensagem de texto ou um código de um aplicativo de autenticação dedicado. Outro fator de autenticação pode ser um identificador biométrico, como a leitura de impressão digital ou de reconhecimento facial.
A autenticação multifator adiciona camadas de segurança além da sua senha.
VPN
Configurar uma VPN pode oferecer uma camada extra de defesa contra programas de força bruta. Usar uma VPN ao se conectar a redes wi-fi públicas é especialmente importante. Essas redes apresentam geralmente deficiências na segurança e podem estar repletas de hackers esperando para pegar seus dados assim que se conectar.
Software antivírus
Um bom software antivírus pode fazer muito do que apenas detectar e evitar malware. Programas de segurança cibernética como o Avast Free Antivirus enviam notificações sobre vazamentos de senha desconhecidos, ajudam a bloquear sites maliciosos e removem arquivos perigosos do dispositivo.
CAPTCHA
CAPTCHA é um sistema de verificação que tenta determinar se um usuário é humano. Provavelmente, você já viu CAPTCHAs antes se foi solicitado, por exemplo, a selecionar todas as imagens com um barco ou teve que inserir o texto mostrado antes de acessar um site.
As ferramentas de ataque de força bruta não são seres humanos, e o CAPTCHA impede que muitas delas façam várias tentativas de inserir senhas. Embora o CAPTCHA seja usado principalmente por empresas, também pode ser usado por pessoas que têm um site. Adicionar CAPTCHA ao site pode ajudar a impedir hackers de usá-lo para coletar suas informações e informações de outras pessoas.
Limitar tentativas de acesso
Se tiver um site acessado por usuários ou clientes, você deveria limitar o número permitido de tentativas de acesso. Faça isso usando um plugin para proibir ou bloquear temporariamente um endereço IP depois de várias tentativas falhas.
Alguns sites e contas ainda permitem tentativas de acesso ilimitadas, portanto, como usuário, contar com as tentativas de acesso limitadas não é uma solução isolada. Seja responsável por sua própria segurança online com um poderoso antivírus.
Enfrente os ataques de força bruta com a Avast
Os ataques de força bruta podem parecer assustadores, mas não é difícil criar uma forte defesa contra eles. Você precisa apenas de senhas exclusivas e poderosas ferramentas de segurança cibernética como o Avast Free Antivirus para ficar muito mais seguro online.
O Avast Free Antivirus monitora as senhas vinculadas a seu endereço de e-mail e envia notificações caso uma delas seja comprometida. Também ajuda a proteger o dispositivo contra uma série de ameaças como downloads maliciosos, links infectados, anexos de e-mail perigosos e muito mais. Baixe-o hoje mesmo para ficar à frente dos hackers.