Senhas roubadas são vendidas aos montes na deep web e, ocasionalmente, até mesmo na web tradicional, mas às vezes os criminosos levam a pior. Foi o que aconteceu com um australiano, que não teve sua identidade revelada, preso por acumular cerca de 300 mil dólares australianos (cerca de R$ 810 mil) com venda de credenciais roubadas.
O rapaz era suspeito de gerenciar um site chamado WickedGen, que anunciava ter 120 mil usuários. A página tinha o objetivo de vender credenciais roubadas para acessar serviços como Netflix, Spotify e Hulu; estima-se que ele tivesse informações de e-mail e senha de aproximadamente 1 milhão de contas.
A prisão foi feita pela Polícia Federal Australiana, que obteve informações sobre a identidade do rapaz de 21 anos graças ao FBI, como informou um comunicado da organização. Pelo fato de muitas dessas contas funcionarem internacionalmente, várias das credenciais vendidas afetavam vítimas de fora da Austrália também.
Segundo a publicação, as senhas foram obtidas por meio de uma técnica chamada de “credential stuffing”, que é bem simples de se entender: a maioria das pessoas repetem suas senhas em múltiplos serviços; basta obter um endereço de e-mail e uma palavra-chave em um serviço e tentá-la em outros e muitas vezes você terá sucesso.
Por exemplo: vamos supor que sua senha do LinkedIn vaze na internet. Isso pode acontecer porque você caiu em um golpe de phishing ou algum banco de dados da empresa foi hackeado. O cibercriminoso vai pegar a combinação de e-mail e senha que ele obteve e testá-la em outros serviços, como Netflix e Spotify. A taxa de sucesso tende a ser bem alta.
A dica para se proteger deste tipo de ataque é simples: crie senhas únicas para cada serviço que você se cadastra. É recomendável ter um gerenciador de senhas para lembrar de cada uma.