Metade das contas comprometidas em ataques de phishing são acessadas manualmente dentro de 12 horas após o vazamento do nome de usuário e senha, já que os criminosos cibernéticos procuram explorar credenciais roubadas o mais rápido possível.

Pesquisadores de segurança cibernética da Agari plantaram milhares de credenciais - que foram feitas para parecer que pertenciam a usuários reais, mas estavam de fato sob o controle dos pesquisadores - em sites e fóruns populares para despejar nomes de usuário e senhas roubados.

As credenciais falsas - semeadas ao longo de seis meses - foram projetadas para parecer logins comprometidos para aplicativos de software em nuvem bem conhecidos. Os testes descobriram que as contas são acessadas ativamente poucas horas após as credenciais de login serem publicadas on-line em sites e fóruns de phishing. Quase todas as contas foram acessadas manualmente e isso mostra como os criminosos cibernéticos podem testar com precisão se as credenciais realmente funcionam.

Por exemplo, ao acessar uma conta, um invasor pode tentar encontrar informações confidenciais nas caixas de entrada de e-mail das pessoas, ou até mesmo em seu software de armazenamento em nuvem, que pode ser roubado e usado para ajudar em novos ataques ou vendido.

Há também a possibilidade de que os hackers possam usar as contas comprometidas para realizar outros ataques, como ataques de phishing ou comprometimento de e-mail comercial, usando a conta comprometida para lançar novas campanhas. No entanto, essa pesquisa demonstra como os criminosos cibernéticos obtêm credenciais comprometidas e tentam explorá-las para obter acesso a contas adicionais.

Embora as contas comprometidas sejam acessadas rapidamente, a pesquisa descobriu que elas são frequentemente abandonadas após cerca de uma semana - embora nessa época seja provável que os criminosos mudaram para outras contas, talvez depois de usar a conta inicial como um trampolim para chegar lá.

As organizações podem tomar precauções para defender seus usuários, aplicativos em nuvem e a rede em geral contra phishing e outros ataques. Uma delas é ter defesas apropriadas, como software antivírus ou um filtro de spam.

Enquanto isso, o uso de autenticação multifatorial pode ajudar a evitar que contas comprometidas sejam exploradas, pois torna muito mais difícil para um invasor usar - ao mesmo tempo em que alerta a vítima de que algo está errado.