Prefiero llamarlos "ataques de adivinación de contraseñas en línea" ya que "fuerza bruta" tiene un significado específico que no siempre se aplica a estos ataques. Pero sí, todavía ocurren y aquí hay algunos ejemplos de estadísticas para usted:
Microsoft :" detectamos más de 10 millones de ataques de credenciales cada día en nuestros sistemas de identidad ".
Akamai : observaron que“ 999,980 IP estuvieron involucrados en los ataques contra la página de inicio de sesión del cliente [de una institución financiera] ”. 427 millones de cuentas se verificaron en un período de una semana. También se registraron 817,390 IP que realizaron 388 millones de intentos de inicio de sesión con 65 millones de direcciones de correo electrónico contra un cliente de la industria del entretenimiento. Al comparar las IP de origen de ambos ataques, encontraron que el 70% coincidía, lo que implica que la misma organización fue responsable de ambos ataques, o que usaron la misma red de bots.
Google : "Hemos visto un solo atacante que usa contraseñas robadas para intentar entrar en un millón de cuentas de Google diferentes cada día, durante semanas a la vez. Una pandilla diferente intentó iniciar sesión a una tasa de más de 100 cuentas por segundo ". Esto se informó en 2013, pero estoy seguro de que aún enfrentan ataques similares.
Taobao : Taobao fue atacado a través de un ataque de adivinación en línea durante unos pocos días en octubre de 2015. Los atacantes utilizaron 99M de credenciales recopiladas de otros sitios. 20.5 millones de credenciales coincidían con las cuentas de Taobao, que era aproximadamente 1 de cada 20 de sus compradores activos anuales totales. No se detectó hasta noviembre, sin embargo, Alibaba dice que en el momento en que sus sistemas de seguridad descubrieron y bloquearon la mayoría de los intentos de inicio de sesión. Todavía resultó en alrededor de $ 1 millón de transacciones de fraude en su sitio.
En estos casos, estos sitios pueden tener un límite de velocidad u otros controles de autenticación adaptativos, pero no son 100% efectivos en la prevención de todos los intentos de adquisición de cuentas.