Quantificação da ameaça à identidade: Um quinto das solicitações de autenticação é malicioso

A pesquisa da F5 Labs descobriu que 19,4% das solicitações de autenticação são provavelmente impulsionadas por ataques de preenchimento de credenciais;

As mitigações reduzem a prevalência em mais de dois terços, mas aumentam a sofisticação dos ataques subsequentes;

75% das credenciais roubadas vêm de origens desconhecidas.

SEATTLE - As identidades digitais se tornaram um campo de batalha da segurança cibernética, com um quinto das solicitações de autenticação provenientes de sistemas automatizados mal-intencionados, segundo uma nova pesquisa da F5 Labs.

O Relatório sobre ameaças de identidade de 2023: O Unpatchables analisou 320 bilhões de transações de dados que ocorreram nos sistemas de 159 organizações entre março de 2022 e abril de 2023. 

Quando nenhuma atenuação foi implementada, a taxa média de automação - um forte indicador de preenchimento de credenciais - foi de 19,4%. Isso foi reduzido em mais de dois terços, para 6%, quando o tráfego malicioso foi mitigado de forma proativa.  

Os ataques de preenchimento de credenciais implicam que os malfeitores utilizem nomes de usuário e senhas roubados de um sistema para violar outros. As ferramentas automatizadas estão no centro disso, permitindo que os invasores maximizem o número de tentativas que fazem.

"As identidades digitais há muito tempo são uma prioridade para os invasores, e a ameaça está crescendo à medida que a prevalência de identidades não humanas aumenta", disse Sander Vinberg, evangelista de pesquisa de ameaças da F5 Labs. "Nossa pesquisa mostra até que ponto as identidades digitais estão sendo atacadas e a importância de uma mitigação eficaz. De forma significativa, encontramos um padrão consistente no qual o uso da automação maliciosa diminuiu imediatamente para um nível mais baixo quando as proteções estão em vigor, com os invasores tendendo a desistir em busca de alvos mais fáceis."

Mitigação: antes e depois

Uma parte importante do estudo explorou o impacto das atenuações nos ataques de preenchimento de credenciais. Isso tende a alterar o comportamento dos invasores e causar um declínio no uso da automação mal-intencionada. 

O F5 Labs descobriu que, sem mitigações, os ataques eram mais predominantes contra terminais móveis do que contra a Web. Depois que as mitigações foram introduzidas, a queda nos ataques a dispositivos móveis foi maior, e mais ataques subsequentes ocorreram por meio de endpoints da Web.

As mitigações também influenciaram a sofisticação dos ataques.

Contra endpoints de autenticação desprotegidos, 64,5% do tráfego mal-intencionado incluiu ataques classificados como "básicos", o que significa que não houve tentativa de emular o comportamento humano ou de neutralizar a proteção de bots. A parcela desses ataques caiu significativamente para 44% depois que as mitigações foram implementadas.

Por outro lado, os ataques "intermediários", que fazem alguns esforços para adulterar as soluções antibot, aumentaram de 12% para 27% após a implementação da mitigação. Os ataques avançados, que usam ferramentas que podem emular de perto a navegação de um usuário humano (incluindo movimento do mouse, pressionamento de teclas e dimensões da tela), aumentaram de 20% para 23%. 

"Nossa análise mostra que muitos invasores simplesmente seguem em frente quando as proteções são implementadas", disse Vinberg. "Os atacantes que continuam a atacar um sistema com mitigações em vigor são claramente mais determinados e sofisticados, aproveitando ferramentas que lhes permitem replicar de perto o comportamento humano ou trabalhar mais para ocultar suas atividades. 

"Por exemplo, observamos um ataque que emulou 513.000 interações exclusivas de usuários em 516.000 solicitações, recuperando recursos identificáveis em menos de 1% das instâncias. Com os ataques mais sofisticados, às vezes é necessária a observação manual para identificar o comportamento malicioso e criar uma nova assinatura."

Os desafios aumentam para os defensores

O F5 Labs também examinou a cadeia de suprimentos de credenciais comprometidas. É preocupante o fato de que os defensores parecem ter muito menos visibilidade do que pensavam. Até 75% das credenciais enviadas durante os ataques não eram conhecidas anteriormente por terem sido comprometidas.

Além disso, os defensores estão tendo que responder a ameaças de identidade projetadas para superar as atenuações. Por exemplo, as organizações podem tentar monitorar ataques de preenchimento de credenciais procurando uma taxa de sucesso anormalmente baixa de solicitações de autenticação. O estudo descobriu que os invasores se adaptaram a isso com contas "canário". Eles podem ser acessados continuamente para aumentar artificialmente a taxa de sucesso geral. Em um exemplo, uma campanha de credential stuffing se conectou à mesma conta canary 37 milhões de vezes na mesma semana para essa finalidade.

Com os ataques de phishing, outra área importante de foco da análise da F5 Labs, houve mais uma vez evidências claras da intensificação dos esforços para combater as contramedidas. Notavelmente, o aumento do uso da autenticação multifator está alimentando o aumento do phishing de proxy reverso, em que os invasores configuram páginas de login falsas que incentivam os usuários a inserir suas credenciais. 

Além disso, os invasores estão usando cada vez mais os recursos de detecção e evasão, como o AntiRed. Essa é uma ferramenta JavaScript projetada para superar a análise de phishing baseada no navegador, como o Google Safe Browsing (que fornece ao usuário uma mensagem de sinalização vermelha ao encontrar um site potencialmente inseguro).

Novas ameaças no horizonte

Em um cenário de ambientes em constante evolução, o F5 Labs também observou como uma nova geração de ameaças está surgindo. 

Como exemplo, em agosto de 2022, foi observado um anúncio na Dark Web promovendo um sistema de phishing de voz que usaria inteligência artificial para automatizar chamadas de phishing. A crescente sofisticação e a redução dos custos da IA significam que essas abordagens devem se tornar mais comuns e eficazes ao longo do tempo.

"Olhando para o futuro, os provedores de identidade devem empregar uma solução anti-bot para mitigar a automação maliciosa, como o preenchimento de credenciais. Até mesmo soluções antibot simples podem atenuar a maior parte do preenchimento de credenciais sem sofisticação", acrescentou Vinberg.

"As organizações podem fortalecer ainda mais suas defesas com o uso de soluções de MFA baseadas em criptografia, como as baseadas nos protocolos WebAuthn ou FIDO2. Em última análise, não há solução mágica para combater os ataques baseados em identidade. Os defensores devem monitorar e detectar ataques, quantificar a taxa de erro de sua detecção e adaptar-se adequadamente. Quanto mais estudarmos esses ataques e sua natureza em constante mudança, melhor poderemos gerenciar o risco de vulnerabilidades que são inerentes a qualquer sistema que os usuários precisem provar sua identidade para acessar."