E-BOOK Proteja seu negócio on-line contra o credential stuffing

(1)

E-BOOK

Fique à frente das ameaças com a avançada tecnologia de

gerenciamento de bots

Proteja seu negócio on-line

contra o credential stuffing

(2)

2 Proteja seu negócio on-line contra o credential stuffing

O custo total associado ao credential stuffing,

incluindo perdas por fraude, segurança

operacional, tempo de inatividade das

aplicações e rotatividade de clientes, pode variar

de US$ 6 milhões a US$ 54 milhões por ano."

"

Fonte: The Cost of Credential Stuffing, Ponemon Institute

(3)

Como funciona o credential stuffing

CREDENTIAL STUFFING TOMADA DE CONTROLE DE CONTAS

O FRAUDADOR USA BOTS PARA FAZER LOGIN E ASSUMIR O CONTROLE

DAS CONTAS LOGIN Nome de usuário Senha LOGIN Nome de usuário Senha LOGIN Nome de usuário Senha COMPRAS CONTAS DADOS

Um invasor usa bots para executar ping continuamente nas páginas de seu website (geralmente, na página de login ou da conta) usando credenciais de usuário adquiridas na Dark Web. O invasor controla quais credenciais funcionam e vende as credenciais validadas a outros fraudadores, que as usam para fazer login no seu website e assumir o controle das

contas dos clientes, comprar mercadorias ou realizar outras atividades fraudulentas, geralmente obtendo um grande lucro com tudo isso. E o lucro deles representa a sua perda. Você perde receita, clientes e reputação, e poderá até sofrer mais perdas monetárias se não estiver em conformidade com as normas e precisar pagar multas e despesas processuais.

(4)

Com a proliferação de aplicações on-line, a maioria dos usuários não segue boas práticas na Internet: muitas vezes, eles utilizam as mesmas credenciais de login em várias contas. Isso faz com que cada empresa on-line com uma página de login seja um possível alvo para o credential stuffing, independentemente de você já ter sofrido ou não uma violação de dados.

Sua rede e seus dados podem estar protegidos adequadamente, mas seus negócios ainda estarão expostos a fraudes se você não puder ver e interromper o credential stuffing antes que uma combinação bem-sucedida seja encontrada. Em uma pesquisa realizada pelo Ponemon Institute, mais da metade dos entrevistados relataram o credential stuffing como um importante desafio de segurança para

suas empresas. Além disso, quase 70% dos entrevistados disseram

que não achavam que suas empresas tinham a visibilidade adequada desses ataques (ou não tinham certeza disso). Isso faz sentido, pois

estimativas recentes do setor indicam que há bilhões de credenciais

roubadas (nomes de usuário, senhas e endereços de e-mail) circulando atualmente na Dark Web.

A Akamai observou

26,95 bilhões de

tentativas de

credential stuffing

durante o primeiro

trimestre de 2020, um

aumento de 256% em

relação ao valor

observado no primeiro

trimestre de 2019.

(5)

A Akamai aponta

que os bots são

responsáveis por

30% a 70% do tráfego

total nos websites.

O credential stuffing é

automatizado e o

ge-renciamento de bots é a

melhor defesa para você

Infelizmente, as solicitações de login resultantes do credential stuffing não seguem padrões que podem ser facilmente identificados e bloqueados. Credenciais verificadas são solicitações válidas: as informações de login são legítimas, mas a entidade que está tentando autenticar a conta não é, tornando a detecção quase impossível.

Felizmente, não há probabilidade de que o credential stuffing seja realizado manualmente. Normalmente, a validação é automatizada, o que torna o gerenciamento de bots a melhor defesa contra esse problema.

Sua habilidade de parar ataques de credential stuffing depende de sua habilidade em detectar e atenuar bots.

(6)

Os bots são

inteligentes e

persistentes. Por

isso, seu

gerenciamento de

bots precisa

acompanhar as

ameaças em

constante evolução.

O software de gerenciamento de bots permite:

• Identificar o abuso automatizado com mais

facilidade, pois é mais simples detectar solicitações de login geradas por bots do que tomadas de controle de contas envolvendo humanos • Diminuir a incidência de tentativas de tomada

de controle de contas, reduzindo o número de credenciais validadas disponíveis aos fraudadores • Tornar seu website menos atrativo para fraudadores

que, muitas vezes, passam a procurar alvos menos protegidos

Se um fraudador perceber que você encontrou o bot, ele tentará descobrir como isso aconteceu, atualizará o software para evitar a detecção original e tentará novamente. Devido às oportunidades de lucro significativo, o credential stuffing atrai alguns dos mais sofisticados operadores de bots e apresenta um ritmo acelerado de evolução de bots. Proteger sua organização e seus clientes significa evoluir na mesma rapidez da evolução dos bots.

(7)

Observando as tecnologias de bots e as capacidades de aumentar a sofisticação IP único Vários IPs Baixa taxa de solicitação Agente de usuário randomizado Represen-tação do navegador Repetição da sessão Suporte integral a cookies Suporte a JavaScript Falsificação de impressões digitais do navegador Comporta-mento humano registrado

(8)

E não são apenas os bots. Há também a abordagem do ataque. Por exemplo, se você estiver apenas procurando por grandes picos nas tentativas de login, atividades muito mais graves poderão passar despercebidas. A maioria dos websites interage com uma variedade de ameaças todos os dias, da automação óbvia ao comportamento mais evasivo de um bot.

Um ataque de força bruta de um grupo de endereços IP requer uma estratégia diferente da utilizada para um bot usando comportamento humano registrado com poucas solicitações esporádicas por endereço IP.

Observando a sofisticação dos bots de acordo com o padrão de tráfego com uma variedade de níveis detectados em um período de 24 horas

Alta sofisticação

Atividade contínua em todos os momentos

Média sofisticação Mistura-se com o tráfego normal

após o horário comercial

Baixa sofisticação Grandes picos por hora em tentativas

(9)

Número de tentativas de login feitas por humanos e bots em uma página de login de uma grande empresa varejista de moda durante um período de oito dias

Depois de um grande pico de ataque chegando a mais de 131.000 solicitações por hora, uma grande empresa varejista de moda começou a bloquear o tráfego de bots com o Akamai Bot Manager Premier. Com isso, o tráfego de login de bots detectado diminuiu para um volume estatisticamente insignificante, e o nível de tráfego de login humano não mudou.

ESTUDO DE CASO

(10)

10 21 250.000 200.000 150.000 100.000 50.000

Visibilidade de um único cliente Visibilidade de muitos clientes

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

204.398

22 23 tentativas de login

16.359

tentativas de login

Uma captura maior do tráfego na Internet possibilita detectar atividades mais sofisticadas dos bots

Proteja seu negócio on-line contra o credential stuffing

ESTUDO DE CASO

Um grupo de serviços financeiros da Global 500 descobriu que seu website de pensões, que normalmente processa 20.000 tentativas inválidas de login por dia, começou a receber 50.000 tentativas inválidas a cada cinco minutos. Durante o ataque, a infraestrutura teve sua operação abalada enquanto os usuários recebiam notificações de encerramento de sessão ou não conseguiam acessar suas contas. A implantação rápida do Akamai Bot Manager Premier parou imediatamente o ataque e impediu o operador do bot de fazer empréstimos fraudulentos em contas de clientes reais.

(11)

Mais de 70% dos entrevistados na pesquisa do Ponemon Institute concordaram que evitar ataques de credential stuffing é algo difícil porque as correções que limitam os criminosos podem depreciar a experiência na Web dos usuários legítimos.

Usando a tecnologia avançada de aprendizado de máquina e a análise de anomalias comportamentais contra essas ameaças mais sofisticadas, é possível ter mais precisão. Quanto mais refinado for o algoritmo, mais precisa será a análise para minimizar o impacto no desempenho e os falsos positivos que podem, inadvertidamente, bloquear logins de usuários legítimos.

Negue os logins de bots sem

(12)

12

Se 20 de suas contas

de usuário forem

comprometidas todos

os meses, sua empresa

perderá US$ 576.000

em um ano.

Calcule o impacto financeiro

do credential stuffing

É possível estimar o impacto quantificando o escopo da atividade e vinculando-o a métricas conhecidas, tais como:

• Perda de dinheiro para fraudes: o valor médio de transações fraudulentas usando credenciais roubadas

• Custo com a prevenção de fraudes: reduzir a incidência de

comprometimento de contas diminui o custo com soluções antifraude que a organização talvez esteja usando

• Custo com correções: notificar os clientes para que alterem suas credenciais custa menos do que designar um representante para investigar uma fraude

• Valor da perda de um cliente: é improvável que os clientes que tenham sofrido ataques de tomada de controle de conta permaneçam com sua organização

Média com base nas seguintes suposições: 1.000.000 tentativas fraudulentas de login/por mês

• 20 contas comprometidas/mês • US$ 0,01 por pesquisa de soluções antifraude • Valor médio de uma transação fraudulenta: US$ 500

• Custos com correções/por conta: US$ 1.000 • Valor médio da vida útil do cliente: US$ 2.000 • Taxa de atrito de 20% atribuída a contas comprometidas

• Economia com a prevenção de fraudes/por mês: US$ 1.000.000 × US$ 0,01 = US$ 10.000 • Custos com a prevenção de fraudes/por mês:

20 × US$ 500 = US$ 10.000

• Custos com a prevenção de correções/por mês: 20 × US$ 1.000 = US$ 20.000

• Valor da perda de clientes/por mês: 20 × 20% × 2.000 = US$ 8.000 • Valor total/mês: US$ 10.000 + US$ 10.000 + US$ 20.000 +

(13)

O diferencial da Akamai

Com uma parte significativa de todo o tráfego da Web passando por sua rede diariamente, incluindo alguns dos maiores websites atacados com mais frequência no mundo, a Akamai ocupa uma posição exclusiva para garantir ampla visibilidade do uso legítimo de aplicações, bem como de comportamentos de ataque de bots maliciosos em constante evolução. Ela conta com as mais recentes tecnologias de detecção de bots que, comprovadamente, identificam os mais sofisticados bots da atualidade.

O portfólio completo de segurança on-line é projetado para ajudar os clientes no gerenciamento do tráfego de bots na plataforma de entrega em nuvem da Akamai na borda da rede, antes que atinjam os websites e as infraestruturas deles. A Akamai pode ajudar as empresas a gerenciarem os impactos do tráfego de bots causados na TI e nos negócios a fim de proteger os clientes, a empresa e a marca.

(14)

14

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, visitewww.akamai.com, blogs.akamai.com ou@Akamaino Twitter. Encontre nossas informações de contato global em

www.akamai.com/locations. Publicado em 07/2020.

Saiba mais sobre como gerenciar e atenuar ameaças de bots,

como o credential stuffing, em

akamai.com/bots

.

Entre em contato conoscopara saber como as novas tecnologias de gerenciamento avançado