Em uma única semana em Fevereiro, um grupo não-identificado de hackers tentou executar o que seria o golpe perfeito: mais de um milhão de IPs diferentes em uma tentativa sincronizada de invasão.
O caso foi divulgado agora pela Akamai e teria sido direcionado contra dois clientes das soluções de segurança da empresa: uma instituição financeira e um conglomerado de mídia e entretenimento.
De acordo com a Akamai, o grupo utilizou um vasto banco de dados de endereços de e-mail e senhas vazados de diferentes serviços online e testou um por um contra os sistemas de autenticação de seus clientes, na esperança de encontrar uma conta repetida. No total, foram 744 milhões de tentativas de login utilizando 220 milhões de endereços de e-mail. Como mecanismos de proteção costumam bloquear múltiplas tentativas de login oriundas do mesmo IP, os cibercriminosos tinham à sua disposição 1.127.818 IPs diferentes para realizar seu ataque.
O golpe só foi identificado porque 22 mil dos IPs usados na operação já faziam parte de uma lista negra bloqueada pela Akamai. A súbita aparição desses endereços chamou a atenção dos administradores que detectaram o crescimento no número de logins falhos de diferentes IPs.
Segundo a investigação conduzida pelos especialistas de segurança, os hackers combinaram o uso de vários endereços de proxy com um grande número de roteadores comprometidos da Arris e da ZyXel, além de uma botnet de computadores infectados, para alcançar o número surpreendente de IPs distintos.
Esse tipo de ação é conhecida como ATO (Account TakeOver), onde os atacantes forçam a entrada legítima em sistemas. Ao contrário de ataques de força bruta tradicionais, em que um algoritmo fica testando logins e senhas ao acaso, em um ATO os hackers partem de uma lista real de pares login/senha utilizados por usuários em outros serviços. Em casos onde a vítima reutiliza a mesma senha associada ao mesmo endereço de e-mail, o acesso é garantido.
