proteja o seu negócio on-line contra o preenchimento de ......operador pode mudar o agente de...
Post on 25-Oct-2020
1 Views
Preview:
TRANSCRIPT
E-BOOK
Fique à frente das ameaças com a avançada tecnologia de gerenciamento de bots
Proteja seu negócio on-line contra o credential stuffing
2Proteja seu negócio on-line contra o credential stuffing
O custo total associado ao credential stuffing, incluindo perdas por fraude, segurança operacional, tempo de inatividade das aplicações e rotatividade de clientes, pode variar de US$ 6 milhões a US$ 54 milhões por ano."
"
Fonte: The Cost of Credential Stuffing, Ponemon Institute
2Proteja seu negócio on-line contra o credential stuffing
3
Como funciona o credential stuffing
CREDENTIAL STUFFINGTOMADA DE CONTROLE
DE CONTAS
O FRAUDADOR FAZER LOGIN EUSA BOTS PARAASSUMIR O CONTROLE
DAS CONTAS
LOGINNome de usuárioSenha
LOGINNome de usuárioSenha
LOGINNome de usuárioSenha
COMPRAS
CONTAS
DADOS
Proteja seu negócio on-line contra o credential stuffing
Um invasor usa bots para executar ping continuamente nas
páginas de seu website (geralmente, na página de login ou
da conta) usando credenciais de usuário adquiridas na Dark
Web. O invasor controla quais credenciais funcionam e vende
as credenciais validadas a outros fraudadores, que as usam
para fazer login no seu website e assumir o controle das
contas dos clientes, comprar mercadorias ou realizar outras
atividades fraudulentas, geralmente obtendo um grande
lucro com tudo isso. E o lucro deles representa a sua perda.
Você perde receita, clientes e reputação, e poderá até sofrer
mais perdas monetárias se não estiver em conformidade com
as normas e precisar pagar multas e despesas processuais.
4Proteja seu negócio on-line contra o credential stuffing
Com a proliferação de aplicações on-line, a maioria dos usuários
não segue boas práticas na Internet: muitas vezes, eles utilizam as
mesmas credenciais de login em várias contas. Isso faz com que cada
empresa on-line com uma página de login seja um possível alvo para
o credential stuffing, independentemente de você já ter sofrido ou não
uma violação de dados.
Sua rede e seus dados podem estar protegidos adequadamente, mas
seus negócios ainda estarão expostos a fraudes se você não puder
ver e interromper o credential stuffing antes que uma combinação
bem-sucedida seja encontrada. Em uma pesquisa realizada pelo
Ponemon Institute, mais da metade dos entrevistados relataram o
credential stuffing como um importante desafio de segurança para
suas empresas. Além disso, quase 70% dos entrevistados disseram
que não achavam que suas empresas tinham a visibilidade adequada
desses ataques (ou não tinham certeza disso). Isso faz sentido, pois
estimativas recentes do setor indicam que há bilhões de credenciais
roubadas (nomes de usuário, senhas e endereços de e-mail)
circulando atualmente na Dark Web.
A Akamai observou 26,95 bilhões de
tentativas de credential stuffing durante o primeiro
trimestre de 2020, um aumento de 256% em
relação ao valor observado no primeiro
trimestre de 2019.
4Proteja seu negócio on-line contra o credential stuffing
5
A Akamai aponta que os bots são
responsáveis por 30% a 70% do tráfego
total nos websites.
O credential stuffing é automatizado e o ge-renciamento de bots é a melhor defesa para você
5
Infelizmente, as solicitações de login resultantes do credential
stuffing não seguem padrões que podem ser facilmente
identificados e bloqueados. Credenciais verificadas são
solicitações válidas: as informações de login são legítimas,
mas a entidade que está tentando autenticar a conta não é,
tornando a detecção quase impossível.
Felizmente, não há probabilidade de que o credential stuffing
seja realizado manualmente. Normalmente, a validação é
automatizada, o que torna o gerenciamento de bots a melhor
defesa contra esse problema.
Sua habilidade de parar ataques de credential stuffing depende
de sua habilidade em detectar e atenuar bots.
Proteja seu negócio on-line contra o credential stuffing
6Proteja seu negócio on-line contra o credential stuffing
Os bots são inteligentes e
persistentes. Por isso, seu
gerenciamento de bots precisa
acompanhar as ameaças em
constante evolução.
O software de gerenciamento de bots permite:
• Identificar o abuso automatizado com mais
facilidade, pois é mais simples detectar solicitações
de login geradas por bots do que tomadas de
controle de contas envolvendo humanos
• Diminuir a incidência de tentativas de tomada
de controle de contas, reduzindo o número de
credenciais validadas disponíveis aos fraudadores
• Tornar seu website menos atrativo para fraudadores
que, muitas vezes, passam a procurar alvos menos
protegidos
Se um fraudador perceber que você encontrou o
bot, ele tentará descobrir como isso aconteceu,
atualizará o software para evitar a detecção original
e tentará novamente. Devido às oportunidades de
lucro significativo, o credential stuffing atrai alguns dos
mais sofisticados operadores de bots e apresenta um
ritmo acelerado de evolução de bots. Proteger sua
organização e seus clientes significa evoluir na mesma
rapidez da evolução dos bots.
6Proteja seu negócio on-line contra o credential stuffing
7
Observando as tecnologias de bots e as capacidades de aumentar a sofisticação
IP único
Vários IPs
Baixa taxa de
solicitação
Agente de usuário
randomizado
Represen-tação do
navegador
Repetição da sessão
Suporte integral a cookies
Suporte a JavaScript
Falsificação de impressões
digitais do navegador
Comporta-mento humano
registrado
7Proteja seu negócio on-line contra o credential stuffing
E não são apenas os bots. Há também a abordagem do
ataque. Por exemplo, se você estiver apenas procurando
por grandes picos nas tentativas de login, atividades muito
mais graves poderão passar despercebidas. A maioria dos
websites interage com uma variedade de ameaças todos os
dias, da automação óbvia ao comportamento mais evasivo
de um bot.
Um ataque de força bruta de um grupo de endereços IP
requer uma estratégia diferente da utilizada para um bot
usando comportamento humano registrado com poucas
solicitações esporádicas por endereço IP.
Observando a sofisticação dos bots de acordo com o padrão de tráfego com uma variedade de níveis detectados em um período de 24 horas
Alta sofisticaçãoAtividade contínua em todos os momentos
Média sofisticaçãoMistura-se com o tráfego normal
após o horário comercial
Baixa sofisticaçãoGrandes picos por hora em tentativas
8Proteja seu negócio on-line contra o credential stuffing
Humanos Bots
9Proteja seu negócio on-line contra o credential stuffing
Número de tentativas de login feitas por humanos e bots em uma página de login de uma grande empresa varejista de moda durante um período de oito dias
Depois de um grande pico de ataque chegando a mais de 131.000 solicitações por hora, uma grande empresa
varejista de moda começou a bloquear o tráfego de bots com o Akamai Bot Manager Premier. Com isso, o tráfego
de login de bots detectado diminuiu para um volume estatisticamente insignificante, e o nível de tráfego de login
humano não mudou.
ESTUDO DE CASO
Proteja seu negócio on-line contra o credential stuffing 9
Humanos Bots
10
21
250.000
200.000
150.000
100.000
50.000
Visibilidade de um único clienteVisibilidade de muitos clientes
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
204.398
22 23
tentativas de login
16.359tentativas de login
Uma captura maior do tráfego na Internet possibilita detectar atividades mais sofisticadas dos bots
Proteja seu negócio on-line contra o credential stuffing
ESTUDO DE CASO
Um grupo de serviços financeiros da Global 500 descobriu que seu website de pensões, que normalmente
processa 20.000 tentativas inválidas de login por dia, começou a receber 50.000 tentativas inválidas a cada
cinco minutos. Durante o ataque, a infraestrutura teve sua operação abalada enquanto os usuários recebiam
notificações de encerramento de sessão ou não conseguiam acessar suas contas. A implantação rápida
do Akamai Bot Manager Premier parou imediatamente o ataque e impediu o operador do bot de fazer
empréstimos fraudulentos em contas de clientes reais.
11
Mais de 70% dos entrevistados na pesquisa do Ponemon
Institute concordaram que evitar ataques de credential
stuffing é algo difícil porque as correções que limitam os
criminosos podem depreciar a experiência na Web dos
usuários legítimos.
Usando a tecnologia avançada de aprendizado de máquina
e a análise de anomalias comportamentais contra essas
ameaças mais sofisticadas, é possível ter mais precisão.
Quanto mais refinado for o algoritmo, mais precisa será a
análise para minimizar o impacto no desempenho e os falsos
positivos que podem, inadvertidamente, bloquear logins de
usuários legítimos.
Negue os logins de bots sem sacrificar a experiência do cliente
Proteja seu negócio on-line contra o credential stuffing
12
Se 20 de suas contas de usuário forem
comprometidas todos os meses, sua empresa perderá US$ 576.000
em um ano.
Calcule o impacto financeiro do credential stuffingÉ possível estimar o impacto quantificando o escopo da atividade
e vinculando-o a métricas conhecidas, tais como:
• Perda de dinheiro para fraudes: o valor médio de transações
fraudulentas usando credenciais roubadas
• Custo com a prevenção de fraudes: reduzir a incidência de
comprometimento de contas diminui o custo com soluções antifraude
que a organização talvez esteja usando
• Custo com correções: notificar os clientes para que alterem suas
credenciais custa menos do que designar um representante para
investigar uma fraude
• Valor da perda de um cliente: é improvável que os clientes que tenham
sofrido ataques de tomada de controle de conta permaneçam com sua
organização
12Proteja seu negócio on-line contra o credential stuffing
Média com base nas seguintes suposições:
1.000.000 tentativas fraudulentas de login/por mês • 20 contas comprometidas/mês
• US$ 0,01 por pesquisa de soluções antifraude • Valor médio de uma transação fraudulenta: US$ 500
• Custos com correções/por conta: US$ 1.000 • Valor médio da vida útil do cliente: US$ 2.000
• Taxa de atrito de 20% atribuída a contas comprometidas • Economia com a prevenção de fraudes/por mês:
US$ 1.000.000 × US$ 0,01 = US$ 10.000 • Custos com a prevenção de fraudes/por mês:
20 × US$ 500 = US$ 10.000 • Custos com a prevenção de correções/por mês:
20 × US$ 1.000 = US$ 20.000 • Valor da perda de clientes/por mês: 20 × 20% × 2.000 = US$ 8.000
• Valor total/mês: US$ 10.000 + US$ 10.000 + US$ 20.000 + US$ 8.000 = US$ 48.000
Proteja seu negócio on-line contra o credential stuffing
O diferencial da Akamai
Com uma parte significativa de todo o tráfego da Web
passando por sua rede diariamente, incluindo alguns dos
maiores websites atacados com mais frequência no mundo,
a Akamai ocupa uma posição exclusiva para garantir ampla
visibilidade do uso legítimo de aplicações, bem como de
comportamentos de ataque de bots maliciosos em constante
evolução. Ela conta com as mais recentes tecnologias de
detecção de bots que, comprovadamente, identificam os
mais sofisticados bots da atualidade.
O portfólio completo de segurança on-line é projetado para
ajudar os clientes no gerenciamento do tráfego de bots
na plataforma de entrega em nuvem da Akamai na borda
da rede, antes que atinjam os websites e as infraestruturas
deles. A Akamai pode ajudar as empresas a gerenciarem os
impactos do tráfego de bots causados na TI e nos negócios a
fim de proteger os clientes, a empresa e a marca.
131313
14
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, visite www.akamai.com, blogs.akamai.com ou @Akamai no Twitter. Encontre nossas informações de contato global em www.akamai.com/locations. Publicado em 07/2020.
Saiba mais sobre como gerenciar e atenuar ameaças de bots, como o credential stuffing, em akamai.com/bots.
Entre em contato conosco para saber como as novas tecnologias de gerenciamento avançado
de bots da Akamai podem melhorar sua estratégia de segurança on-line.
Em um ataque de abuso de credenciais, a Akamai observou uma botnet de cerca de 13.000 endereços IP, cada um com média de uma tentativa de login a cada duas horas. Ao todo, uma botnet enviou 167.039 tentativas de login em 24 horas, com o alvo sendo 123.909 contas únicas."
Fonte: Improving Credential Abuse Threat Mitigation
"
top related