Hackers estão invadindo sistemas ou apenas fazendo login com credenciais roubadas?

Hackers estão invadindo sistemas ou apenas fazendo login com credenciais roubadas?

• • Por Phil Muncaster
    WeLiveSecurity



•   18/9/2025 - Quinta-feira, 18 de setembro de 2025 - 12:44

A tendência em segurança corporativa aponta que muitos agentes maliciosos não invadem sistemas com exploits complexos — eles simplesmente obtêm credenciais (senhas, tokens ou cookies) para se passar por usuários legítimos. Essa abordagem evita alarmes e técnicas de detecção tradicionais.

Segundo o relatório da Verizon, o uso de credenciais roubadas foi responsável por cerca de 32 % das violações de dados no último ano. :contentReference[oaicite:0]{index=0} E há estimativas que mais de 3,2 bilhões de credenciais corporativas foram vazadas em 2024, um aumento de aproximadamente **33 %** em comparação ao ano anterior. :contentReference[oaicite:1]{index=1}

Métodos comuns para conseguir credenciais

• Phishing: e-mails ou mensagens que fingem vir do suporte técnico ou fornecedores, induzindo o usuário a inserir sua senha ou token em sites falsos. :contentReference[oaicite:2]{index=2}
• Vishing: ligações telefônicas fraudulentas solicitando redefinição de senha ou enrollment em MFA, com pretextos urgentes. :contentReference[oaicite:3]{index=3}
• Infostealers: malware que rouba credenciais, tokens de sessão ou cookies; pode ser instalado via links de phishing, anexos maliciosos ou apps/mods de jogos comprometedores. Estima-se que tenham sido responsáveis por **~75 %** das credenciais comprometidas identificadas em certos estudos. :contentReference[oaicite:4]{index=4}
• Brute-force / Credential stuffing: uso de listas de logins vazados e tentativas automáticas para encontrar combinações válidas abaixo de proteções fracas. :contentReference[oaicite:5]{index=5}
• Comprometimento de terceiros: fornecedores ou parceiros com segurança fraca que armazenam credenciais para seus clientes; credenciais “vazadas” são reutilizadas. :contentReference[oaicite:6]{index=6}
• Bypass de MFA: exemplos incluem: SIM swapping, bombardamento de notificações de MFA até o usuário aprovar por engano (“MFA fatigue”), ou ataques Man-in-the-Middle que interceptam tokens de sessão. :contentReference[oaicite:7]{index=7}

Casos reais exemplares

Alguns incidentes recentes mostram como esse modelo de ataque pode ser devastador quando bem executado:

• Change Healthcare (2024): grupo de ransomware ALPHV (BlackCat) usou credenciais roubadas em servidores sem MFA, fez movimento lateral e implantou ransomware, comprometendo dados sensíveis de milhões de pacientes. :contentReference[oaicite:8]{index=8}
• Snowflake: ação de ator UNC5537 que explorou credenciais previamente vazadas para acessar instâncias de clientes, resultando em roubo potencial de dados downstream. :contentReference[oaicite:9]{index=9}

Por que credenciais são o ponto central dos ataques

Com credenciais válidas, invasores conseguem operar “às claras” dentro do ambiente corporativo, sem acionar muitas das defesas tradicionais (IDS/IPS, firewalls). Eles podem:

• Fazer reconhecimento de rede interno (Who has access a quê, onde estão os dados valiosos);
• Escalonar privilégios via vulnerabilidades conhecidas ou via configuração incorreta de permissões;
• Estabelecer comunicação com servidores de comando e controle (C2) para baixar malware ou exfiltrar dados, mantendo presença oculta. :contentReference[oaicite:10]{index=10}

Tabela: comparativo entre tipos de comprometimento de credenciais

Método	Exemplo de ataque	Como prevenir / mitigar
Phishing / Vishing	E-mail falso do suporte solicitando senha, ligação pedindo redefinição urgente	Treinamento de usuários; simulações de phishing; checagem de remetente; verificação de links; uso de autenticação forte.
Infostealers	Malware que rouba cookies ou tokens após clique em link malicioso	Proteção de endpoint com antimalware forte; detecção de comportamento suspeito; evitar downloads de fontes pouco confiáveis.
Brute Force / Credential Stuffing	Reutilização de credenciais vazadas em múltiplos sistemas	Políticas de senha forte; bloqueio após tentativas falhas; impedir compartilhamento de credenciais.
Third-party Breaches	Fornecedor / MSP comprometido divulga credenciais	Aprovação de auditorias de segurança; exigir fornecedores com compliance; monitoramento de listas de credenciais vazadas.
MFA Bypass / Fatigue / SIM Swapping	Usuário recebe várias solicitações de MFA e aprova por exaustão, ou atacante realiza transferência de conta de celular	Uso de autenticação de múltiplos fatores confiável; uso de tokens físicos quando possível; monitoramento de alertas MFA; alertas de login suspeitos geográficos ou de dispositivo.

Recomendações para reforçar sua segurança (com Bitdefender)

• Adote política de **Zero Trust** — “nunca confie, sempre verifique” — segmentando redes, verificando device, localização, perfil de risco a cada login;
• Use autenticação multifator robusta (MFA) em todas as contas críticas; prefira soluções de token físico ou apps de autenticação confiáveis;
• Treine funcionários com simulações reais de phishing, vishing e engenharia social; mantenha protocolos de resposta rápida;
• Implante software de proteção de endpoint/servidor com detecção comportamental — por exemplo, **Bitdefender Endpoint Security / Bitdefender para Servidores Windows** — para identificar credenciais roubadas ou comportamento fora do comum;
• Habilite monitoramento contínuo de sessões, alertas via comportamento anômalo em logins (diferença de localização / dispositivo); ferramentas de detecção de anomalias e hunts internos (threat hunting);
• Atualize políticas de senha, bloqueie contas após muitas tentativas falhas; limitação de tentativas de MFA; revisão constante de permissões e privilégios mínimos.
• Considere utilizar serviços terceirizados de MDR (Managed Detection & Response) para suporte especializado, monitoramento 24/7 e resposta a incidentes.
• Inclua monitoramento da dark web para detectar credenciais corporativas vazadas; assim você pode reagir antes de um invasor usar essas credenciais.

"O uso de credenciais roubadas está entre os métodos iniciais mais comuns de invasão — proteger este ponto é fundamental para evitar que invasores andem livremente pelo seu ambiente.", comenta especialista de segurança da Bitdefender.