"Quase tempo para o almoço" pensou Cameron, enquanto clicava no seu e-mail. "Revisão de documentos... revisão de documentos... deposição..." Gostava de ser paralegal, mas desejava que a sua empresa contratasse mais pessoas para ajudar na carga de trabalho.
Fez uma pausa por um momento para ver um e-mail da Tailwind Toys que tinha chegado no dia anterior. Aparentemente, tiveram algum tipo de falha de segurança, mas acham que os atacantes não receberam qualquer informação de pagamento. "Óptimo", pensou com uma gargalhada: "Agora sabem quais são os brinquedos favoritos do meu filho."
Um pouco mais tarde conheceu a amiga Akihito para o almoço. Puxando a cadeira, Akihito deixou cair casualmente o porta-chaves na mesa.
"Olá!" Cameron exclamou: "Onde conseguiste aquele cubo de puzzle fantástico no teu porta-chaves?".
"É muito divertido", respondeu Akihito. "Era $5 na Tailwind Toys."
"Ooh" Cameron disse, de repente lembrando-se do e-mail que tinha visto anteriormente. "Ouviram que foram hackeados e perderam um monte de informações do cliente?"
"A sério? Uau!
"Sim, tenho a certeza que estão entusiasmados por saber que o Ethan gosta de blocos azuis." Cameron respondeu, rindo.
"É tudo o que têm?"
"Oh, os habituais 'Nomes de clientes, endereços de e-mail, palavras-passe' também. Mas aparentemente não há cartões de crédito." Cameron respondeu.
"Hmmm.. mas e-mails e palavras-passe? Akihito parecia preocupado.
"Sim, eles têm a minha palavra-passe fantástica. Provavelmente estão todos a usá-lo para si mesmos agora! Tem 23 caracteres e parece que foi escrito em Klingon. Eu uso aquela coisa em todos os lugares."
"Em todo o lado? O seu endereço de e-mail e essa palavra-passe são o início de sessão do seu banco ou das suas redes sociais?"
"Bem... Sim..." Cameron respondeu: "Mas são sites diferentes."
"Não importa." Akihito disse. "Há um tipo de ataque chamado 'Itens de credenciais'. Quando os bandidos obtêm nomes de utilizador e palavras-passe num site, acedem a todos os outros sites e experimentam essas combinações de nome de utilizador e palavra-passe para ver quantos deles funcionam. Se estiver a utilizar a mesma palavra-passe em qualquer lugar e essa pessoa souber que é utilizada com o seu endereço de e-mail, pode aceder às suas contas em qualquer sistema que utilize o mesmo nome de utilizador e palavra-passe."
Agora Cameron estava preocupado. "Acho que o meu endereço de e-mail é o meu nome de utilizador em muitos locais, incluindo no trabalho. O que devo fazer?"
"Tem a verificação de dois passos ativada para esses sites?" Akihito perguntou.
"Parece um aborrecimento, por isso não o liguei." Admitiu.
"Oh, oh. Então não perderia tempo e começaria a alterar essas palavras-passe, começando pela sua palavra-passe profissional. Utilize palavras-passe exclusivas para tudo e deve ativar a verificação de dois passos onde puder. Não te chateia muito no segundo passo e vale a pena impedir que bandidos invadam a tua conta bancária ou o teu trabalho."
"Odeio ter de me lembrar de todas aquelas palavras-passe. Só sei que vou estar constantemente a clicar em 'esqueci-me da palavra-passe'." Ela estava a sentir-se um pouco sobrecarregada com a tarefa que se avizinha.
"Obtenha um gestor de palavras-passe. Podem lembrar-se das suas palavras-passe por si e até sugerir novas palavras-passe fortes." Akihito sugeriu. "Utilizo o browser Microsoft Edge para isso. Torna a minha vida muito mais fácil e até sincroniza com todos os meus dispositivos." Disse que estava a segurar o smartphone.
"Ok, acho que posso fazer isso." Ela disse-me.
"Devias ir fazê-lo agora, eu vou almoçar." Disse que estava à procura da carteira. "Menina... pode ter a sua ordem para ir?
"Obrigado bud, vou ter o próximo." Ela disse, a dirigir-se para o balcão para recolher a comida.
Resumo
Reutilizar palavras-passe é extremamente perigoso. Os criminosos podem ter dificuldade em invadir os sistemas do seu banco, mas basta um site com fraca segurança para ser invadido e podem obter o seu nome de utilizador e palavra-passe. Em poucas horas, podem experimentar essa combinação de nome de utilizador e palavra-passe em centenas ou milhares de sites na Web. É provável que se deparem com, pelo menos, outros sites onde esse nome de utilizador e palavra-passe funcionam.
Se não tiver proteção adicional, como a verificação de dois passos (por vezes conhecida como autenticação multifator) ativada, estas podem estar nas suas contas antes mesmo de saber que o primeiro site foi violado.
É o que é um ataque de recheio de credenciais.
O que cameron poderia ter feito melhor?
O mais importante é não reutilizar a palavra-passe dela, por muito boa que fosse uma palavra-passe.
Também poderia ter ativado a verificação de dois passos onde quer que estivesse disponível. Assim, mesmo que os bandidos lhe arranjassem a palavra-passe, seria muito mais difícil para eles entrarem nas suas contas.
O que é que a Cameron fez bem?
Assim que se apercebeu do perigo potencial, foi imediatamente alterar as palavras-passe, ativou a gestão de palavras-passe no Microsoft Edge e começou a utilizar a verificação de dois passos.
Para saber mais , visite https://support.microsoft.com/security.
Se gostou disto...
Se gosta de aprender sobre cibersegurança em contos como este, também pode querer ver uma história de phish.É a história de um executivo de conta que tem um encontro angustiante com um ataque de phishing no trabalho.