proteja o seu negócio on-line contra o preenchimento de ......operador pode mudar o agente de...

E-BOOK

Fique à frente das ameaças com a avançada tecnologia de gerenciamento de bots

Proteja seu negócio on-line contra o credential stuffing

2Proteja seu negócio on-line contra o credential stuffing

O custo total associado ao credential stuffing, incluindo perdas por fraude, segurança operacional, tempo de inatividade das aplicações e rotatividade de clientes, pode variar de US$ 6 milhões a US$ 54 milhões por ano."

"

Fonte: The Cost of Credential Stuffing, Ponemon Institute


https://content.akamai.com/us-en-pg10079-the-cost-of-credential-stuffing.html

3

Como funciona o credential stuffing

CREDENTIAL STUFFINGTOMADA DE CONTROLE

DE CONTAS

O FRAUDADOR FAZER LOGIN EUSA BOTS PARAASSUMIR O CONTROLE

DAS CONTAS

LOGINNome de usuárioSenha



COMPRAS

CONTAS

DADOS


Um invasor usa bots para executar ping continuamente nas

páginas de seu website (geralmente, na página de login ou

da conta) usando credenciais de usuário adquiridas na Dark

Web. O invasor controla quais credenciais funcionam e vende

as credenciais validadas a outros fraudadores, que as usam

para fazer login no seu website e assumir o controle das

contas dos clientes, comprar mercadorias ou realizar outras

atividades fraudulentas, geralmente obtendo um grande

lucro com tudo isso. E o lucro deles representa a sua perda.

Você perde receita, clientes e reputação, e poderá até sofrer

mais perdas monetárias se não estiver em conformidade com

as normas e precisar pagar multas e despesas processuais.


Com a proliferação de aplicações on-line, a maioria dos usuários

não segue boas práticas na Internet: muitas vezes, eles utilizam as

mesmas credenciais de login em várias contas. Isso faz com que cada

empresa on-line com uma página de login seja um possível alvo para

o credential stuffing, independentemente de você já ter sofrido ou não

uma violação de dados.

Sua rede e seus dados podem estar protegidos adequadamente, mas

seus negócios ainda estarão expostos a fraudes se você não puder

ver e interromper o credential stuffing antes que uma combinação

bem-sucedida seja encontrada. Em uma pesquisa realizada pelo

Ponemon Institute, mais da metade dos entrevistados relataram o

credential stuffing como um importante desafio de segurança para

suas empresas. Além disso, quase 70% dos entrevistados disseram

que não achavam que suas empresas tinham a visibilidade adequada

desses ataques (ou não tinham certeza disso). Isso faz sentido, pois

estimativas recentes do setor indicam que há bilhões de credenciais

roubadas (nomes de usuário, senhas e endereços de e-mail)

circulando atualmente na Dark Web.

A Akamai observou 26,95 bilhões de

tentativas de credential stuffing durante o primeiro

trimestre de 2020, um aumento de 256% em

relação ao valor observado no primeiro

trimestre de 2019.


5

A Akamai aponta que os bots são

responsáveis por 30% a 70% do tráfego

total nos websites.

O credential stuffing é automatizado e o ge-renciamento de bots é a melhor defesa para você

5

Infelizmente, as solicitações de login resultantes do credential

stuffing não seguem padrões que podem ser facilmente

identificados e bloqueados. Credenciais verificadas são

solicitações válidas: as informações de login são legítimas,

mas a entidade que está tentando autenticar a conta não é,

tornando a detecção quase impossível.

Felizmente, não há probabilidade de que o credential stuffing

seja realizado manualmente. Normalmente, a validação é

automatizada, o que torna o gerenciamento de bots a melhor

defesa contra esse problema.

Sua habilidade de parar ataques de credential stuffing depende

de sua habilidade em detectar e atenuar bots.



Os bots são inteligentes e

persistentes. Por isso, seu

gerenciamento de bots precisa

acompanhar as ameaças em

constante evolução.

O software de gerenciamento de bots permite:

• Identificar o abuso automatizado com mais

facilidade, pois é mais simples detectar solicitações

de login geradas por bots do que tomadas de

controle de contas envolvendo humanos

• Diminuir a incidência de tentativas de tomada

de controle de contas, reduzindo o número de

credenciais validadas disponíveis aos fraudadores

• Tornar seu website menos atrativo para fraudadores

que, muitas vezes, passam a procurar alvos menos

protegidos

Se um fraudador perceber que você encontrou o

bot, ele tentará descobrir como isso aconteceu,

atualizará o software para evitar a detecção original

e tentará novamente. Devido às oportunidades de

lucro significativo, o credential stuffing atrai alguns dos

mais sofisticados operadores de bots e apresenta um

ritmo acelerado de evolução de bots. Proteger sua

organização e seus clientes significa evoluir na mesma

rapidez da evolução dos bots.


7

Observando as tecnologias de bots e as capacidades de aumentar a sofisticação

IP único

Vários IPs

Baixa taxa de

solicitação

Agente de usuário

randomizado

Represen-tação do

navegador

Repetição da sessão

Suporte integral a cookies

Suporte a JavaScript

Falsificação de impressões

digitais do navegador

Comporta-mento humano

registrado


E não são apenas os bots. Há também a abordagem do

ataque. Por exemplo, se você estiver apenas procurando

por grandes picos nas tentativas de login, atividades muito

mais graves poderão passar despercebidas. A maioria dos

websites interage com uma variedade de ameaças todos os

dias, da automação óbvia ao comportamento mais evasivo

de um bot.

Um ataque de força bruta de um grupo de endereços IP

requer uma estratégia diferente da utilizada para um bot

usando comportamento humano registrado com poucas

solicitações esporádicas por endereço IP.

Observando a sofisticação dos bots de acordo com o padrão de tráfego com uma variedade de níveis detectados em um período de 24 horas

Alta sofisticaçãoAtividade contínua em todos os momentos

Média sofisticaçãoMistura-se com o tráfego normal

após o horário comercial

Baixa sofisticaçãoGrandes picos por hora em tentativas


Humanos Bots


Número de tentativas de login feitas por humanos e bots em uma página de login de uma grande empresa varejista de moda durante um período de oito dias

Depois de um grande pico de ataque chegando a mais de 131.000 solicitações por hora, uma grande empresa

varejista de moda começou a bloquear o tráfego de bots com o Akamai Bot Manager Premier. Com isso, o tráfego

de login de bots detectado diminuiu para um volume estatisticamente insignificante, e o nível de tráfego de login

humano não mudou.

ESTUDO DE CASO

Proteja seu negócio on-line contra o credential stuffing 9

Humanos Bots

10

21

250.000

200.000

150.000

100.000

50.000

Visibilidade de um único clienteVisibilidade de muitos clientes

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

204.398

22 23

tentativas de login

16.359tentativas de login

Uma captura maior do tráfego na Internet possibilita detectar atividades mais sofisticadas dos bots


ESTUDO DE CASO

Um grupo de serviços financeiros da Global 500 descobriu que seu website de pensões, que normalmente

processa 20.000 tentativas inválidas de login por dia, começou a receber 50.000 tentativas inválidas a cada

cinco minutos. Durante o ataque, a infraestrutura teve sua operação abalada enquanto os usuários recebiam

notificações de encerramento de sessão ou não conseguiam acessar suas contas. A implantação rápida

do Akamai Bot Manager Premier parou imediatamente o ataque e impediu o operador do bot de fazer

empréstimos fraudulentos em contas de clientes reais.

11

Mais de 70% dos entrevistados na pesquisa do Ponemon

Institute concordaram que evitar ataques de credential

stuffing é algo difícil porque as correções que limitam os

criminosos podem depreciar a experiência na Web dos

usuários legítimos.

Usando a tecnologia avançada de aprendizado de máquina

e a análise de anomalias comportamentais contra essas

ameaças mais sofisticadas, é possível ter mais precisão.

Quanto mais refinado for o algoritmo, mais precisa será a

análise para minimizar o impacto no desempenho e os falsos

positivos que podem, inadvertidamente, bloquear logins de

usuários legítimos.

Negue os logins de bots sem sacrificar a experiência do cliente


12

Se 20 de suas contas de usuário forem

comprometidas todos os meses, sua empresa perderá US$ 576.000

em um ano.

Calcule o impacto financeiro do credential stuffingÉ possível estimar o impacto quantificando o escopo da atividade

e vinculando-o a métricas conhecidas, tais como:

• Perda de dinheiro para fraudes: o valor médio de transações

fraudulentas usando credenciais roubadas

• Custo com a prevenção de fraudes: reduzir a incidência de

comprometimento de contas diminui o custo com soluções antifraude

que a organização talvez esteja usando

• Custo com correções: notificar os clientes para que alterem suas

credenciais custa menos do que designar um representante para

investigar uma fraude

• Valor da perda de um cliente: é improvável que os clientes que tenham

sofrido ataques de tomada de controle de conta permaneçam com sua

organização


Média com base nas seguintes suposições:

1.000.000 tentativas fraudulentas de login/por mês • 20 contas comprometidas/mês

• US$ 0,01 por pesquisa de soluções antifraude • Valor médio de uma transação fraudulenta: US$ 500

• Custos com correções/por conta: US$ 1.000 • Valor médio da vida útil do cliente: US$ 2.000

• Taxa de atrito de 20% atribuída a contas comprometidas • Economia com a prevenção de fraudes/por mês:

US$ 1.000.000 × US$ 0,01 = US$ 10.000 • Custos com a prevenção de fraudes/por mês:

20 × US$ 500 = US$ 10.000 • Custos com a prevenção de correções/por mês:

20 × US$ 1.000 = US$ 20.000 • Valor da perda de clientes/por mês: 20 × 20% × 2.000 = US$ 8.000

• Valor total/mês: US$ 10.000 + US$ 10.000 + US$ 20.000 + US$ 8.000 = US$ 48.000


O diferencial da Akamai

Com uma parte significativa de todo o tráfego da Web

passando por sua rede diariamente, incluindo alguns dos

maiores websites atacados com mais frequência no mundo,

a Akamai ocupa uma posição exclusiva para garantir ampla

visibilidade do uso legítimo de aplicações, bem como de

comportamentos de ataque de bots maliciosos em constante

evolução. Ela conta com as mais recentes tecnologias de

detecção de bots que, comprovadamente, identificam os

mais sofisticados bots da atualidade.

O portfólio completo de segurança on-line é projetado para

ajudar os clientes no gerenciamento do tráfego de bots

na plataforma de entrega em nuvem da Akamai na borda

da rede, antes que atinjam os websites e as infraestruturas

deles. A Akamai pode ajudar as empresas a gerenciarem os

impactos do tráfego de bots causados na TI e nos negócios a

fim de proteger os clientes, a empresa e a marca.

131313

14

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, visite www.akamai.com, blogs.akamai.com ou @Akamai no Twitter. Encontre nossas informações de contato global em www.akamai.com/locations. Publicado em 07/2020.

Saiba mais sobre como gerenciar e atenuar ameaças de bots, como o credential stuffing, em akamai.com/bots.

Entre em contato conosco para saber como as novas tecnologias de gerenciamento avançado

de bots da Akamai podem melhorar sua estratégia de segurança on-line.

Em um ataque de abuso de credenciais, a Akamai observou uma botnet de cerca de 13.000 endereços IP, cada um com média de uma tentativa de login a cada duas horas. Ao todo, uma botnet enviou 167.039 tentativas de login em 24 horas, com o alvo sendo 123.909 contas únicas."

Fonte: Improving Credential Abuse Threat Mitigation

"

https://www.akamai.com/br/pt

https://blogs.akamai.com

https://twitter.com/Akamai

https://www.akamai.com/br/pt/locations.jsp

https://www.akamai.com/br/pt/solutions/security/bot-management-and-credential-stuffing.jsp

https://www.akamai.com/br/pt/contact-us.jsp

https://blogs.akamai.com/2017/01/improving-credential-abuse-threat-mitigation.html

proteja o seu negócio on-line contra o preenchimento de ......operador pode mudar o agente de...

Documents