Como hackeiam contas de redes sociais?

Gabriel Torres · 17 de julho de 2020

Tópico para a discussão do seguinte conteúdo publicado no Clube do Hardware:

"Entenda como pessoas conseguem roubar contas de redes sociais."

Comentários são bem-vindos.

Atenciosamente,
Equipe Clube do Hardware
https://www.clubedohardware.com.br

KairanD · 17 de julho de 2020

Esse caso de senhas repetidas e vazadas é extremamente comum. A pessoa insiste em usar o mesmo e-mail e a mesma senha em tudo que é lugar (no próprio e-mail, redes sociais, Steam, Netflix, KabuM!...). E, é claro, usa também em inúmeros sites pequeninos e inseguros (de programas diversos, por exemplo). Um desses sites pequeninos é hackeado, as combinações vão parar na Deep Web... E aí é "só alegria".

Eu tento sempre orientar as pessoas que conheço: USEM SENHAS DIFERENTES! Além disso, vale muito a pena utilizar a autenticação em dois passos (seja por app, telefone ou e-mail). O problema é que muita gente prefere trocar a segurança por uma comodidade momentânea e sem sentido. Aqui em casa mesmo foi uma batalha...

Gabriel Torres · 17 de julho de 2020

@KairanD Exatamente. Aqui mesmo no Clube do Hardware vemos isto ocorrer de vez em quando: usuário com conta inativa há anos e de repente aparece postando spam com endereço IP do exterior... Pimba! É usuário que teve senha vazada, e desativamos a conta.

mick 07 · 17 de julho de 2020

@KairanD é isso mesmo. Uns anos atrás eu tinha o péssimo costume de usar senha repetida em algumas plataformas menos importantes. Quando fiz o cadastro no Spotify, usei uma dessas senhas, não deu nem uma semana e acessaram minha conta na Holanda. Fiz uma pesquisa e achei meu login e senha vazados num fórum hacker, junto com outras milhares de pessoas mundo afora (os famosos bancos de dados de senhas vazadas encontrados internet, que virou moda). Também tentaram acessar minha conta do iCloud, que eu não lembrava que tava usando senha antiga e repetida, mas nesse caso o cara não conseguiu acesso porque eu já tinha ativado a autenticação em dois fatores, foi só eu não autorizar e mudar a senha.

Depois desses dois episódios, eu saí fazendo uma pesquisa pra saber em quais sites e plataformas eu tenho login, e mudei todas as senhas, mesmo que sejam exclusivas e eu não tenha repetido em outros sites, e sempre colocando uma frase como senha, e ativando a 2FA (Facebook, e-mails, sites de compras, aplicativos táxi/corrida, aplicativos de comida, plataformas de jogos, TUDO). Hoje eu também aviso a todo mundo pra fazer isso, principalmente minha mãe, que usa a mesma senha pra absolutamente tudo, aí depois aparece um monte de compras no cartão dela e ela não sabe o que foi.

Indico dois sites pra verificar se a senha vazou: https://minhasenha.com/ (esse inclusive diz qual foi a senha vazada, conheci através do Altieres Rohr) e o https://haveibeenpwned.com/ (esse é mais conhecido).

Ps.: minha senha do CdH é exclusiva, não usei em outras plataformas, vale ressaltar pra chefia.

Marcos FRM · 17 de julho de 2020

Desde quando o gerenciador de senhas do Chrome ficou decente, oferecendo sugestões de senhas fortes, adotei-o. É uma solução simples para o problema, que não requer software adicional. Deve ter o recurso no novo Edge, no Firefox, etc. Precisa apenas conscientização mesmo.

Como não dá para editar aqui, complemento: o chrome de umas versões para cá também avisa se alguma senha memorizada vazou. Esses dias fui pego de surpresa com um aviso assim, de um site que não acessava fazia muito tempo. Não sei se outros navegadores oferecem isso. É muito útil.

Rafael Victor Alvarenga · 17 de julho de 2020

eu sei q esse nao e o tipo de comentario,mas valeu esse video me ajudo muuito obrigado de verdade

De Los Santos · 18 de julho de 2020

Em relação a primeira parte eu sempre me lembro desses sites que catalogam as piores senhas para se usar. Um deles catalogou as 500 piores e disse que 1 de cada 9 contas na Internet usava uma daquelas 500 senhas e 2% de todas as contas da Internet usa uma das 20 primeiras.

E desde que eu descobri esse presente dos Deuses chamado KeePass que passei a me divertir criando senhas. Crio as senhas o mais absurdas possíveis, com trocentos caracteres, misturando letras, números e símbolos. Tentei usar ideogramas do mandariam e letras dos alfabetos cirílico, hebraico, árabe, grego, mas o programa não aceitou.

Inclusive, a senha que eu uso aqui no CdH, num ataque massivo de força bruta levaria milhões de séculos para ser quebrada. Acho que tá bom, né?

Underdown · 19 de julho de 2020

Acho q o velho papel e caneta pra anotar todas as senhas ainda é o melhor caminho . as pessoas ficaram tão maravilhadas com tecnologia que esqueceram que os antigos metodos ainda são mais seguros .

Éric H.X · 19 de julho de 2020

O que eu sempre sugiro além do 2FA é também não guardar senhas no navegador e usar um gerenciador de senhas confiável, tem até um vídeo do BABOO falando sobre como criar senhas fortes:

Lost Byte · 20 de julho de 2020

@KairanD @mick 07

Passei por casos assim nestes últimos meses. Para resolver comecei a migrar contas usando novos endereços de e-mails e usando senha única em cada serviço/site. Tive que criar uma lista para não esquecer as combinações.

Interessante no caso do @mick 07 que uma de minhas senhas foi vazadas depois de criar uma conta no Spotify também. Pode ser coincidência, mas agora fico com medo de criar uma nova conta lá (a antiga havia deletado).

@Gabriel Torres

Parabéns pelo artigo! Apesar de algumas coisas parecerem serem óbvias para muitos, é importante alertar este tipo de informação. O 2º exemplo é bem comum, já que se agrupa em golpes, e infelizmente o pessoal menos experiente em tecnologia fica muito vulnerável a estas situações.

Internet está cada vez mais sendo um local hostil para saber lidar.

Em 19/07/2020 às 09:00, Rogério Ottoni disse:

Acho q o velho papel e caneta pra anotar todas as senhas ainda é o melhor caminho . as pessoas ficaram tão maravilhadas com tecnologia que esqueceram que os antigos metodos ainda são mais seguros .

Realmente! É interessante nesta questão que com o avanço da tecnologia, digitar está sendo tão comum que escrever pode se tornar uma arte extinta com o tempo. Se não fosse as atividades de meu serviço, nem saberia quando voltaria a usar uma caneta ou lápis.

Gabriel Torres · 20 de julho de 2020

@Lost Byte Exatamente. Para a gente que é "macaco velho" parece óbvio, mas para a esmagadora maioria dos usuários não é óbvio.

mick 07 · 20 de julho de 2020

1 hora atrás, Lost Byte disse:

Interessante no caso do @mick 07 que uma de minhas senhas foi vazadas depois de criar uma conta no Spotify também. Pode ser coincidência, mas agora fico com medo de criar uma nova conta lá (a antiga havia deletado).

Eu acredito, sinceramente, que o sistema do Spotify tem algum deficiência de segurança, porque eu conheço MUITA gente que teve senha vazada, inclusive de pessoas que trabalham com segurança da informação e cancelaram o cadastro por causa disso. Mas isso é papo pra outra hora, senão vira off-topic. Abraços.

De Los Santos · 25 de julho de 2020

Em 19/07/2020 às 09:00, Rogério Ottoni disse:

Acho q o velho papel e caneta pra anotar todas as senhas ainda é o melhor caminho . as pessoas ficaram tão maravilhadas com tecnologia que esqueceram que os antigos metodos ainda são mais seguros .

Já cheguei a ter um papelzinho na minha carteira com as senhas anotadas.

OPiantino · 1 de agosto de 2020

Sempre fiquei preocupado com esse negócio de senha, geralmente eu uso senhas que são parecidas porém mudo alguns caracteres-chaves, como caps lock e etc, nunca tentaram logar em algum serviço meu, descobri pelo site https://haveibeenpwned.com/ que meus dados foram expostos em 4 ataques somente, já fiquei assustado e comecei a rever todas as senhas que tenho, tem algumas que até esqueci qual é kkkkkkkkkkkkkkkk porque n uso a mesma pra todos

Eu tinha uma folha de papel com todas as senhas anotadas, porém deve ter se pertido por alguma gaveta que preciso vasculhar

Éric H.X · 1 de agosto de 2020

@OPiantino Use um gerenciador de senhas que facilita e muito o trabalho em criar senhas fortes sem precisar guardar tudo na cabeça. Aqui eu uso o Kaspersky Password Manager.

De Los Santos · 1 de agosto de 2020

10 horas atrás, OPiantino disse:

Sempre fiquei preocupado com esse negócio de senha, geralmente eu uso senhas que são parecidas porém mudo alguns caracteres-chaves, como caps lock e etc, nunca tentaram logar em algum serviço meu, descobri pelo site https://haveibeenpwned.com/ que meus dados foram expostos em 4 ataques somente, já fiquei assustado e comecei a rever todas as senhas que tenho, tem algumas que até esqueci qual é kkkkkkkkkkkkkkkk porque n uso a mesma pra todos

Eu tinha uma folha de papel com todas as senhas anotadas, porém deve ter se pertido por alguma gaveta que preciso vasculhar

Eu me esqueci de falar sobre o HIBP, que eu também uso e, que quem é usuário do Vakinha, como eu, acabou de receber um e-mail falando que as senhas do site foram vazadas.

Menos mal que o site usa BCrypt para criptografar as senhas, e não o MD5 ou, o que é mais inteligente, grava a senha em plaintext. De qualquer forma, here we go alterar a senha de lá.

Levi Rodrigues · 7 de agosto de 2020

Ótimo vídeo do Gabriel Torres. Eu passei a usar senhas exclusivas para cada serviço/loja/site e gerenciadas pelo LastPass (que, para mim, é o melhor gerenciador de senhas atualmente, não é à toa que também é um dos mais populares, se não o mais popular). Também uso o LastPass para criar senhas fortes com dezenas de caracteres das mais absurdas formas kkk, e de fato, autenticação de dois fatores é muito importante.

Queria também parabenizar o Gabriel e sua equipe na produção de seu e-book sobre montagem de computadores (não lembro da nomenclatura completa), que tem me ajudado muito! Parei um tempo de ler por preguiça, mas preciso retomar a estudar novamente

MatheusMuguet · 10 de agosto de 2020

Os crackers, já que hacker é um termo de pessoa com conhecimento avançado faz o bem, o cracker faz o mal, usam o bruteforce, geralmente desenvolvido em linguagens de programação como C, ou python, bruteforces que funcionam, ou as vezes, eles mesmo são o bruteforce, eles apenas tentam manualmente, para não deixar isso acontecer, coloque uma 2° proteção, que seria, no celular, enviar uma tela, com uns números para você, ou no computador, isso não existe, então coloque uma senha forte, como 5385927, uma senha nada a ver, mas 99% dos bruteforces não pegariam, apenas os bem mais eficientes, e se quiser burlar eles, não coloque números, tente colocar o sobrenome da sua bisavó com o último nome da sua mãe por exemplo, assim um bruteforce feito em programação não detectaria, não existe um método definitivo, contra todos os tipos, pois se colocar em números, o bruteforce mais eficiente pega, se colocar em nome, sobrenome, manualmente uma pessoa que sabe algo sobre você pega, e se colocar letras nada a ver, um bruteforce eficiente pega, então a alternativa é esta, sou especialista em pentest, e posso garantir que é o melhor método, ou então, coloque por exemplo uma senha simples, mas que com certeza ninguém pegará, como LinuxVive, ou WindowsBosta(brincadeiras a parte, mas linux é melhor kk), ótimo vídeo, mas não colocou o principal método dos crackers, então, não ficou tão completo, sucessos, Gabriel!

De Los Santos · 21 de agosto de 2020

E por falar em Have I been pwned, olha só que apareceu por lá - https://haveibeenpwned.com/PwnedWebsites#Catho

E o melhor de tudo - "1.2 million unique email addresses. Names, usernames and PLAIN TEXT PASSWORDS were also exposed". Paga-se caro para se cadastrar ali para fazerem isso.

Usuario45621 · 9 de setembro de 2020

Uso gerenciador de senhas, senhas diferentes para todas as contas, todas as senhas são longas e cheias de caracteres com força em bits absurda que nem um super computador consegue quebrar.

misterjohn · 12 de setembro de 2020

Eu penso que isso nunca terá fim, isso porque assim como tem cabeças pensantes da melhor qualidade na Microsoft, Apple, Google, etc, também tem no "lado negativo da fôrça" caras supercapazes que se prestam a cometer esses tipos de crime. Uso netbanking a muito tempo, tive minha conta da CEF invadida duas vezes, me ressarciram o valor surrupiado, continuei usando até hoje, faço tudo que envolve valores pelo celular, já tive meu cartão credicard usado indevidamente, tanto na CEF quanto no cartão, eles fazem pequenas movimentações para testar se a pessoa "tá esperta", como acompanho tudo de perto, fica mais difícil de levar um golpe.

Sobre invadir contas sociais, o MSN era invadido frequentemente porque ele mesmo facilitava isso com a questão de recuperar senha ficar pedindo nome de animais de estimação, etc, não é só desconhecidos que agem dessa maneira, os conhecidos também. O pessoal vive descobrindo como acessar perfis, foto, curtidas, etc, no facebook, ai eles vão lá e mudam alguma coisa, é o que falei, não tem fim.....

Albino Viana · 27 de setembro de 2020

Concordo com o que a galera expôs acima ... segurança em primeiro lugar. De quando em vez, faz-se necessário alterar/mudar as senhas de login. Acessamos a receita federal e outras instituições e temos que ter cuidado (ler tudo antes de clicar em algo). Pessoas clicam em arquivos, links recebidos, sem a menor preocupação, parecendo uma criança de três anos de idade. Outros jogam fora as correspondências físicas recebidas, onde constam dados interessantes: nome, cpf, endereço, material recebido, etc. Nem se preocupam em destruir/inutilizar tal documentação. Voltando à senha, a conscientização para uso de uma senha pessoal e forte é de suma importância para evitar terríveis dores de cabeça mais tarde.

TigsMo · 31 de outubro de 2020

Recentemente recebi notificação do Chrome, sobre dados vazados. Fui ver o log do Outlook.com e tinha tentativa de acesso de China, Rússia...

zsoldier1 · 18 de novembro de 2020

Eu tenho senha diferentes para maioria dos sites mas mesmo assim tive a conta google invadida e recentemente invadiram meu console PS3 e através do aplicativo do youtube mais uma vez invadiram a conta percebi algo errado pois começou a aparecer vídeos sugeridos e até no histórico que com certeza eu não assisti, fui investigar e achei um celular vinculado a minha conta pelo APP.

Pincipi · 24 de novembro de 2020

No meu caso, desde 1994 eu costumo criar contas de e-mail com senhas mais simples possível, e com estas contas crio também cadastros em lojas, redes sociais e sites de relacionamento, tudo com o objetivo de ver estas contas serem hackeadas e quando acontece eu tento estabelecer como ocorreu, bem como tento fazer a recuperação. É uma diversão demorada e trabalhosa mas, de vez em quando rende.