E-BOOK
Fique à frente das ameaças com a avançada tecnologia de
gerenciamento de bots
Proteja seu negócio on-line
contra o credential stuffing
2 Proteja seu negócio on-line contra o credential stuffing
O custo total associado ao credential stuffing,
incluindo perdas por fraude, segurança
operacional, tempo de inatividade das
aplicações e rotatividade de clientes, pode variar
de US$ 6 milhões a US$ 54 milhões por ano."
"
Fonte: The Cost of Credential Stuffing, Ponemon Institute
2 Proteja seu negócio on-line contra o credential stuffing
Como funciona o credential stuffing
CREDENTIAL STUFFING TOMADA DE CONTROLE DE CONTAS
O FRAUDADOR USA BOTS PARA FAZER LOGIN E ASSUMIR O CONTROLE
DAS CONTAS LOGIN Nome de usuário Senha LOGIN Nome de usuário Senha LOGIN Nome de usuário Senha COMPRAS CONTAS DADOS
Um invasor usa bots para executar ping continuamente nas páginas de seu website (geralmente, na página de login ou da conta) usando credenciais de usuário adquiridas na Dark Web. O invasor controla quais credenciais funcionam e vende as credenciais validadas a outros fraudadores, que as usam para fazer login no seu website e assumir o controle das
contas dos clientes, comprar mercadorias ou realizar outras atividades fraudulentas, geralmente obtendo um grande lucro com tudo isso. E o lucro deles representa a sua perda. Você perde receita, clientes e reputação, e poderá até sofrer mais perdas monetárias se não estiver em conformidade com as normas e precisar pagar multas e despesas processuais.
4 Proteja seu negócio on-line contra o credential stuffing
Com a proliferação de aplicações on-line, a maioria dos usuários não segue boas práticas na Internet: muitas vezes, eles utilizam as mesmas credenciais de login em várias contas. Isso faz com que cada empresa on-line com uma página de login seja um possível alvo para o credential stuffing, independentemente de você já ter sofrido ou não uma violação de dados.
Sua rede e seus dados podem estar protegidos adequadamente, mas seus negócios ainda estarão expostos a fraudes se você não puder ver e interromper o credential stuffing antes que uma combinação bem-sucedida seja encontrada. Em uma pesquisa realizada pelo Ponemon Institute, mais da metade dos entrevistados relataram o credential stuffing como um importante desafio de segurança para
suas empresas. Além disso, quase 70% dos entrevistados disseram
que não achavam que suas empresas tinham a visibilidade adequada desses ataques (ou não tinham certeza disso). Isso faz sentido, pois
estimativas recentes do setor indicam que há bilhões de credenciais
roubadas (nomes de usuário, senhas e endereços de e-mail) circulando atualmente na Dark Web.
A Akamai observou
26,95 bilhões de
tentativas de
credential stuffing
durante o primeiro
trimestre de 2020, um
aumento de 256% em
relação ao valor
observado no primeiro
trimestre de 2019.
4 Proteja seu negócio on-line contra o credential stuffingA Akamai aponta
que os bots são
responsáveis por
30% a 70% do tráfego
total nos websites.
O credential stuffing é
automatizado e o
ge-renciamento de bots é a
melhor defesa para você
Infelizmente, as solicitações de login resultantes do credential stuffing não seguem padrões que podem ser facilmente identificados e bloqueados. Credenciais verificadas são solicitações válidas: as informações de login são legítimas, mas a entidade que está tentando autenticar a conta não é, tornando a detecção quase impossível.
Felizmente, não há probabilidade de que o credential stuffing seja realizado manualmente. Normalmente, a validação é automatizada, o que torna o gerenciamento de bots a melhor defesa contra esse problema.
Sua habilidade de parar ataques de credential stuffing depende de sua habilidade em detectar e atenuar bots.
6 Proteja seu negócio on-line contra o credential stuffing
Os bots são
inteligentes e
persistentes. Por
isso, seu
gerenciamento de
bots precisa
acompanhar as
ameaças em
constante evolução.
O software de gerenciamento de bots permite:
• Identificar o abuso automatizado com mais
facilidade, pois é mais simples detectar solicitações de login geradas por bots do que tomadas de controle de contas envolvendo humanos • Diminuir a incidência de tentativas de tomada
de controle de contas, reduzindo o número de credenciais validadas disponíveis aos fraudadores • Tornar seu website menos atrativo para fraudadores
que, muitas vezes, passam a procurar alvos menos protegidos
Se um fraudador perceber que você encontrou o bot, ele tentará descobrir como isso aconteceu, atualizará o software para evitar a detecção original e tentará novamente. Devido às oportunidades de lucro significativo, o credential stuffing atrai alguns dos mais sofisticados operadores de bots e apresenta um ritmo acelerado de evolução de bots. Proteger sua organização e seus clientes significa evoluir na mesma rapidez da evolução dos bots.
6 Proteja seu negócio on-line contra o credential stuffing
Observando as tecnologias de bots e as capacidades de aumentar a sofisticação IP único Vários IPs Baixa taxa de solicitação Agente de usuário randomizado Represen-tação do navegador Repetição da sessão Suporte integral a cookies Suporte a JavaScript Falsificação de impressões digitais do navegador Comporta-mento humano registrado
E não são apenas os bots. Há também a abordagem do ataque. Por exemplo, se você estiver apenas procurando por grandes picos nas tentativas de login, atividades muito mais graves poderão passar despercebidas. A maioria dos websites interage com uma variedade de ameaças todos os dias, da automação óbvia ao comportamento mais evasivo de um bot.
Um ataque de força bruta de um grupo de endereços IP requer uma estratégia diferente da utilizada para um bot usando comportamento humano registrado com poucas solicitações esporádicas por endereço IP.
Observando a sofisticação dos bots de acordo com o padrão de tráfego com uma variedade de níveis detectados em um período de 24 horas
Alta sofisticação
Atividade contínua em todos os momentos
Média sofisticação Mistura-se com o tráfego normal
após o horário comercial
Baixa sofisticação Grandes picos por hora em tentativas
8 Proteja seu negócio on-line contra o credential stuffing
Número de tentativas de login feitas por humanos e bots em uma página de login de uma grande empresa varejista de moda durante um período de oito dias
Depois de um grande pico de ataque chegando a mais de 131.000 solicitações por hora, uma grande empresa varejista de moda começou a bloquear o tráfego de bots com o Akamai Bot Manager Premier. Com isso, o tráfego de login de bots detectado diminuiu para um volume estatisticamente insignificante, e o nível de tráfego de login humano não mudou.
ESTUDO DE CASO
10 21 250.000 200.000 150.000 100.000 50.000
Visibilidade de um único cliente Visibilidade de muitos clientes
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
204.398
22 23 tentativas de login16.359
tentativas de loginUma captura maior do tráfego na Internet possibilita detectar atividades mais sofisticadas dos bots
Proteja seu negócio on-line contra o credential stuffing
ESTUDO DE CASO
Um grupo de serviços financeiros da Global 500 descobriu que seu website de pensões, que normalmente processa 20.000 tentativas inválidas de login por dia, começou a receber 50.000 tentativas inválidas a cada cinco minutos. Durante o ataque, a infraestrutura teve sua operação abalada enquanto os usuários recebiam notificações de encerramento de sessão ou não conseguiam acessar suas contas. A implantação rápida do Akamai Bot Manager Premier parou imediatamente o ataque e impediu o operador do bot de fazer empréstimos fraudulentos em contas de clientes reais.
Mais de 70% dos entrevistados na pesquisa do Ponemon Institute concordaram que evitar ataques de credential stuffing é algo difícil porque as correções que limitam os criminosos podem depreciar a experiência na Web dos usuários legítimos.
Usando a tecnologia avançada de aprendizado de máquina e a análise de anomalias comportamentais contra essas ameaças mais sofisticadas, é possível ter mais precisão. Quanto mais refinado for o algoritmo, mais precisa será a análise para minimizar o impacto no desempenho e os falsos positivos que podem, inadvertidamente, bloquear logins de usuários legítimos.
Negue os logins de bots sem
12
Se 20 de suas contas
de usuário forem
comprometidas todos
os meses, sua empresa
perderá US$ 576.000
em um ano.
Calcule o impacto financeiro
do credential stuffing
É possível estimar o impacto quantificando o escopo da atividade e vinculando-o a métricas conhecidas, tais como:
• Perda de dinheiro para fraudes: o valor médio de transações fraudulentas usando credenciais roubadas
• Custo com a prevenção de fraudes: reduzir a incidência de
comprometimento de contas diminui o custo com soluções antifraude que a organização talvez esteja usando
• Custo com correções: notificar os clientes para que alterem suas credenciais custa menos do que designar um representante para investigar uma fraude
• Valor da perda de um cliente: é improvável que os clientes que tenham sofrido ataques de tomada de controle de conta permaneçam com sua organização
12 Proteja seu negócio on-line contra o credential stuffing
Média com base nas seguintes suposições: 1.000.000 tentativas fraudulentas de login/por mês
• 20 contas comprometidas/mês • US$ 0,01 por pesquisa de soluções antifraude • Valor médio de uma transação fraudulenta: US$ 500
• Custos com correções/por conta: US$ 1.000 • Valor médio da vida útil do cliente: US$ 2.000 • Taxa de atrito de 20% atribuída a contas comprometidas
• Economia com a prevenção de fraudes/por mês: US$ 1.000.000 × US$ 0,01 = US$ 10.000 • Custos com a prevenção de fraudes/por mês:
20 × US$ 500 = US$ 10.000
• Custos com a prevenção de correções/por mês: 20 × US$ 1.000 = US$ 20.000
• Valor da perda de clientes/por mês: 20 × 20% × 2.000 = US$ 8.000 • Valor total/mês: US$ 10.000 + US$ 10.000 + US$ 20.000 +
O diferencial da Akamai
Com uma parte significativa de todo o tráfego da Web passando por sua rede diariamente, incluindo alguns dos maiores websites atacados com mais frequência no mundo, a Akamai ocupa uma posição exclusiva para garantir ampla visibilidade do uso legítimo de aplicações, bem como de comportamentos de ataque de bots maliciosos em constante evolução. Ela conta com as mais recentes tecnologias de detecção de bots que, comprovadamente, identificam os mais sofisticados bots da atualidade.
O portfólio completo de segurança on-line é projetado para ajudar os clientes no gerenciamento do tráfego de bots na plataforma de entrega em nuvem da Akamai na borda da rede, antes que atinjam os websites e as infraestruturas deles. A Akamai pode ajudar as empresas a gerenciarem os impactos do tráfego de bots causados na TI e nos negócios a fim de proteger os clientes, a empresa e a marca.
14
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, visitewww.akamai.com, blogs.akamai.com ou@Akamaino Twitter. Encontre nossas informações de contato global em
www.akamai.com/locations. Publicado em 07/2020.
Saiba mais sobre como gerenciar e atenuar ameaças de bots,
como o credential stuffing, em
akamai.com/bots
.
Entre em contato conoscopara saber como as novas tecnologias de gerenciamento avançado
de bots da Akamai podem melhorar sua estratégia de segurança on-line.
Em um ataque de abuso de credenciais, a Akamai observou uma botnet
de cerca de 13.000 endereços IP, cada um com média de uma tentativa de
login a cada duas horas. Ao todo, uma botnet enviou 167.039 tentativas
de login em 24 horas, com o alvo sendo 123.909 contas únicas."
Fonte: Improving Credential Abuse Threat Mitigation