O total foi alcançado nos últimos dois anos, nos quais houve perto de 100 mil violações com vazamento de informações

15 bilhões. Essa é a estimativa mais recente sobre o número de credenciais atualmente em circulação nos mercados do cibercrime. O número foi alcançado nos últimos dois anos, nos quais houve perto de 100 mil violações, representando um crescimento de 300% sobre o número anterior. A estimativa está sendo feita pela Digital Shadows, de Londres, especializada em monitoramento de risco cibernético.

As credenciais em circulação vieram de uma enorme variedade de serviços, tais como contas bancárias, mídias sociais e serviços de streaming de vídeo. Por essa razão existem muitas repetições. Porém, cinco bilhões dessas credenciais foram consideradas “únicas” – ou seja, não foram anunciadas mais de uma vez pelos criminosos.

“Algumas dessas contas expostas podem conter informações muito sensíveis ou permitir acesso a elas, já que detalhes expostos em uma violação podem ser reutilizados para comprometer as contas usadas em outros lugares”, comentou Rick Holland, CISO e vice-presidente de estratégia da Digital Shadows. Segundo ele, “nos últimos 1,5 anos, identificamos e alertamos nossos clientes sobre o vazamento de cerca de 27 milhões de credenciais”.

As credenciais são vendidas em média por US$ 15,43. Quando são bancárias e financeiras, poré, ficam mais caras informa a Digital Shadows, com média de US$ 70,91. Mas algumas podem valer mais de US$ 500, dependendo da ‘qualidade’ da conta.

A Digital Shadows também observou o crescimento da ‘aquisição de contas como serviço’: ao invés de comprar uma credencial, os criminosos podem alugá-la por determinado período, geralmente por menos de US$ 10. Outros itens comercializados nesse contexto são métodos para contornar 2FA, duplo fator de autenticação. A Digital Shadows cita um exemplo localizado em dezembro de 2019, no qual um cibercriminoso de língua russa criou um método projetado para contornar os sistemas 2FA em um banco online com sede nos Estados Unidos. Ele afirmava que seria possível acessar de sete a nove de cada dez contas bancárias, sem a necessidade de verificação por SMS. O preço para uso do método era US$ 5.000.

Por esse preço, o serviço coleta dados específicos de cada cliente (como cookies, endereços IP, fusos horários), o que facilita a invasão de contas e execução de transações clandestinas. Entrar nos fóruns onde essas negociações acontecem exige uma senha, e sempre há usuários dispostos inclusive a pagar por elas. Holland lembra que os usuários podem reduzir seus riscos utilizando senhas diferentes para cada conta”.

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/15-bilhoes-de-credenciais-estao-a-venda-estima-consultoria/)