É mais provável que sejam comprometidas devido à reutilização de palavras-passe e à falta de autenticação multifator.
Por Michael Hill
As contas inativas e não mantidas representam riscos de segurança significativos para as empresas e os utilizadores. E os cibercriminosos são adeptos da utilização de informações roubadas por esse esquecimento. É o que diz um estudo da Okta, que sublinha que o aumento da dispersão de identidades pode desencadear riscos significativos de apropriação de contas (ATO). Muitas vezes, estas contas nem sequer foram utilizadas, ou pelo menos não o foram durante anos. E são fáceis de comprometer se os utilizadores reutilizarem as palavras-passe ou não realizarem verificações de segurança. Uma violação de qualquer serviço pode equipar um agente de ameaça com um grande volume de credenciais e dados pessoais associados, com os atacantes a utilizarem-nos para comprometer plataformas ativas, incluindo grandes redes e contas empresariais.
Este estudo foi divulgado pouco depois de a Google ter anunciado que está a atualizar a sua política de inatividade para as suas contas durante um período de dois anos. Isto inclui o conteúdo das suas aplicações de produtividade. De facto, o grande volume de criação de novas contas cria um churn percetível: um conceito de expansão em que as contas mais recentes “retiram” outras sem aumentar a coleção de contas ativas de um utilizador. As contas mais antigas não são eliminadas, mas permanecem frequentemente sem utilização e esquecidas, por vezes durante anos. Esta proliferação de contas é mais frequente entre os utilizadores mais jovens, mas também é significativa em quase todas as faixas etárias. O número de novas contas registadas nos últimos três meses por pessoas com idades compreendidas entre os 18 e os 29 anos é ligeiramente superior a 40, diminuindo ligeiramente para 35 e 34 para as pessoas com idades compreendidas entre os 30 e os 39 anos e entre os 40 e os 49 anos, respetivamente. Estima-se que as pessoas com mais de 60 anos tenham aberto cerca de 20 novas contas nos últimos três meses.
Um dos principais desafios da rotatividade de contas é a capacidade de gerir e manter com segurança as pegadas digitais num grande número de contas. O relatório da Okta revelou que 71% dos inquiridos sabem que as suas atividades online deixam um rasto de dados, mas apenas 44% tomam medidas para o atenuar.
A gestão de palavras-passe parece ser um ponto de fricção particular, com 63% dos inquiridos a declararem que não conseguem iniciar sessão numa conta porque se esqueceram do nome de utilizador ou da palavra-passe pelo menos uma vez por mês, de acordo com o relatório. Embora a redefinição da palavra-passe seja muitas vezes possível, os utilizadores podem decidir que o processo simplesmente não vale a pena, o que leva a uma maior inatividade da conta. Apenas 52% dos inquiridos afirmaram que ainda têm acesso a todas as suas contas.
É menos provável que as contas inativas utilizem a autenticação de dois fatores
As contas inativas que não foram acedidas durante longos períodos de tempo são mais suscetíveis de serem comprometidas, de acordo com a Google. “Isto deve-se ao facto de as contas esquecidas ou não acedidas dependerem frequentemente de palavras-passe antigas ou reutilizadas que podem ter sido comprometidas, não terem configurado a autenticação de dois fatores (2FA) e receberem menos controlos de segurança por parte do utilizador”, acrescentou a empresa.
De facto, as contas abandonadas têm pelo menos dez vezes menos probabilidades de ter a autenticação de dois fatores configurada do que as contas ativas, segundo a Google. Este facto torna estas contas particularmente vulneráveis e, uma vez comprometidas, podem ser utilizadas para qualquer coisa, desde o roubo de identidade a um vetor de conteúdos indesejados ou mesmo maliciosos, como o spam.
Cibercriminosos dão prioridade às credenciais roubadas para melhorar ataques
Mais de 80% das violações que envolvem ataques contra aplicações Web podem ser atribuídas a credenciais roubadas, de acordo com o Verizon Data Breach Investigations Report 2022. Os cibercriminosos estão a dar prioridade às credenciais roubadas para melhorar os ataques e contornar as medidas de segurança, demonstrando mesmo uma vontade de se afastar do malware em favor do abuso de credenciais para facilitar o acesso e a persistência nos ambientes das vítimas. Esta tendência também criou uma clara procura de serviços de intermediação de acesso: grupos criminosos que vendem credenciais de acesso roubadas. Houve um aumento anual de 112% nos anúncios de serviços de intermediação de acesso identificados no ano passado em comparação com 2021, com mais de 2.500 anúncios de acesso detetados na clandestinidade criminosa.