Mas o recheio de credenciais também é a ilustração perfeita do mundo real de por que as pessoas são frequentemente instruídas a não reutilizar senhas.
Imagine que você se inscreva em um serviço on -line usando uma combinação específica de email e senha e, em seguida, esse serviço está comprometido. Suas credenciais podem acabar em uma enorme coleção na Web Dark, com bilhões de outras pessoas, vendidas de maneira bastante barata. Agora, esse serviço pode não ter dados importantes sobre você. Mas, se você usar a mesma senha em outro lugar, isso poderá causar problemas significativos.
Carregando
Os bandidos carregarão esses bilhões de credenciais em um sistema automatizado que os lança em serviços rápidos em serviços que têm informações importantes, como serviços financeiros. Esses serviços devem ter absolutamente proteções contra isso. Se eles começarem a obter milhares de solicitações de login diferentes do mesmo endereço IP ou várias tentativas de login na mesma conta de diferentes endereços IP, que devem ser sinalizados. Hunt e outros também criaram protocolos que podem verificar senhas para ver se foram pegos em uma violação, e muitas empresas as usam para que possam levar os usuários a alterar as senhas antes que ocorra um ataque.
Mas uma maneira de evitar ser vítima de recheio de credenciais é não reutilizar senhas, e particularmente ter uma senha exclusiva para qualquer serviço que possua seu dinheiro ou dados confidenciais. Existem muitos gerentes de senha que manterão todas as suas senhas exclusivas seguras e criptografadas, e alguns também integram a tecnologia que pode dizer se uma de suas senhas foi encontrada nos dados vendidos na Web Dark, para que você possa alterá -lo.
Lacunas em segurança
Dito isto, a segurança não pode ser deixada apenas para os usuários finais. E a pressão sobre o setor para reforçar suas práticas é necessária.
“A autenticação básica de vários fatores pode impedir os atacantes em suas trilhas, mesmo que tenham a senha correta. Alguns super fundos têm isso em vigor, mas incrivelmente, nem todos eles”, disse David Sandell, diretor executivo do Centro de Análise de Ameaça de Infraestrutura Crítica CI-ISAC.
Carregando
“Houve muitos exemplos de não implementar o MFA levando a resultados catastróficos, como o ataque da biblioteca britânica de 2023. Em 2025, isso simplesmente não é bom o suficiente. Também existem maneiras de monitorar proativamente se as senhas dos clientes são fracas ou apareceram em violações de dados. Parece que isso também não aconteceu.”
Então, vamos imaginar um futuro em que todos os fundos oferecem MFA e até exigem. E vamos imaginar que eles monitorem senhas detectadas em violações anteriores. Tudo isso acrescenta um pouco de atrito e aborrecimento para os usuários finais, porque eles precisam passar por uma etapa extra toda vez que efetuam login, e também pode ser uma barreira para aqueles sem telefones celulares. As respostas à chamada fadiga do MFA incluem passagens armazenadas em dispositivos e biometria, como ID do rosto e impressão digital, mas podem não estar disponíveis para todos os usuários. Ainda assim, é menos irritante do que perder sua economia de aposentadoria.
Então, o que acontece então? Esses tipos de ataques desaparecem? Obviamente não. Os bandidos desenvolveram e dimensionaram ferramentas que testam os sistemas para encontrar fraquezas, como redefinições de senha ou mesmo para interceptar e -mails e mensagens SMS para ignorar o MFA. Então, é claro, há IA generativa.
“Mesmo sistemas bem seguros podem ser vulneráveis se os invasores usarem técnicas avançadas, como bots orientados a IA, que imitam o comportamento humano para ignorar as verificações de segurança. É por isso que as instituições e os consumidores precisam assumir um papel ativo na proteção de suas contas”, disse Mark Gorrie, diretor-gerente da Austrália-Pacífico para a empresa de software de segurança Norton.
“Esses ataques estão se tornando mais direcionados com a disponibilidade de dados para o perfil dos usuários dos serviços usados e outras informações de identidade. A IA também pode ajudar os cibercriminosos a gerar e -mails de phishing mais convincentes e mensagens de texto, para induzir as pessoas a revelar suas credenciais”.
Mas Hunt disse que a ascensão da IA na segurança cibernética não era ruim.
“O escopo da IA é tão amplo que será usado cada vez mais para procurar coisas como vulnerabilidades ou implicar certas coisas sobre a postura de segurança de um serviço que, de outra forma, levaria algum tempo para descobrir”, disse ele.
“Temos ai como os mocinhos também. Portanto, devemos ser capazes de ser melhor do que nunca na identificação de comportamentos anômalos”.
Obtenha notícias e resenhas sobre tecnologia, gadgets e jogos em nosso boletim de tecnologia toda sexta -feira. Inscreva -se aqui.
