O que é o Credential Stuffing?
Publicado em: 27 Out 2020
Última modificação em: 21 Jan 2026
O preenchimento de credenciais tem dominado as manchetes sobre cibersegurança nos últimos anos e tornou-se rapidamente num dos métodos de ataque mais comuns utilizados pelos cibercriminosos em todo o mundo.
Um ataque de credential stuffing ocorre quando os atacantes utilizam grandes volumes de nomes de utilizador e palavras-passe roubados para obter acesso não autorizado a contas online. Estas credenciais são normalmente obtidas na dark web na sequência de grandes violações de dados que afectam organizações de todos os sectores.
Utilizando bots automatizados e ferramentas especializadas, os cibercriminosos testam os detalhes de login roubados em vários sites em grande escala. Como muitas pessoas reutilizam a mesma palavra-passe em diferentes plataformas, este método de ataque é altamente eficaz e relativamente fácil de executar.
O preenchimento de credenciais é uma forma de ataque de força bruta, mas em vez de adivinharem combinações aleatórias de palavras-passe, os atacantes baseiam-se em credenciais legítimas. Isto aumenta significativamente a sua taxa de sucesso e torna o ataque mais difícil de detetar.
A principal motivação dos ataques de credential stuffing é o ganho financeiro. Quando as contas são comprometidas, os atacantes podem aceder a contas bancárias associadas, revender contas na dark web ou explorar dados pessoais para cometer roubo de identidade.
O que está a alimentar o crescimento dos ataques de “Credential Stuffing”?
O rápido aumento dos ataques de credential stuffing é largamente impulsionado pelo vasto volume de credenciais comprometidas disponíveis online. Atualmente, o site HaveIBeenPwned.com rastreia mais de 8,5 mil milhões de credenciais expostas de mais de 400 violações de dados, muitas das quais envolvem milhões de registos.
Um dos incidentes mais significativos foi a violação Collection #1, que veio à tona em 2019. Esta violação expôs 1,2 mil milhões de combinações de nomes de utilizador e palavras-passe, incluindo 773 milhões de endereços de correio eletrónico únicos e 21 milhões de palavras-passe únicas.
O acesso a estes grandes conjuntos de dados permite aos atacantes testar rapidamente milhões de combinações de correio eletrónico e de palavras-passe, explorando o hábito generalizado de reutilização de palavras-passe.
Ao mesmo tempo, as ferramentas de automatização cada vez mais sofisticadas permitem aos atacantes distribuir tentativas de início de sessão por vários endereços IP, tornando os ataques de preenchimento de credenciais mais difíceis de identificar e bloquear.
Que sectores são afectados por ataques de Credential Stuffing?
Os ataques de preenchimento de credenciais podem afetar qualquer organização com uma funcionalidade de início de sessão do utilizador. No entanto, as indústrias que armazenam dados financeiros ou informações pessoais de elevado valor são particularmente vulneráveis.
Os sectores mais frequentemente visados incluem o comércio eletrónico, o retalho, os serviços financeiros, o entretenimento, o ensino superior e os cuidados de saúde.
As organizações de serviços financeiros foram especialmente afectadas. O FBI alertou para o facto de o preenchimento de credenciais ter sido responsável por 41% dos ciberataques no sector financeiro entre 2017 e 2020, resultando em perdas de milhões de dólares.
Para além das perdas financeiras, o impacto do preenchimento de credenciais pode incluir perturbações operacionais, sanções regulamentares, danos na reputação e perda de confiança dos clientes a longo prazo.
Exemplos de ataques recentes de preenchimento de credenciais
Várias organizações de renome sofreram violações de dados causadas por ataques de preenchimento de credenciais, incluindo:
- Dunkin’ Donuts – Em 2019, a Dunkin’ Donuts confirmou vários ataques de preenchimento de credenciais contra o seu programa de prémios DD Perks. Os atacantes acederam às contas dos utilizadores utilizando credenciais divulgadas por outras violações e venderam as contas comprometidas na dark web.
- Nintendo – Em 2020, a Nintendo revelou que 160.000 contas de utilizadores foram comprometidas através de credential stuffing. Os atacantes utilizaram credenciais reutilizadas para aceder a contas, fazer compras não autorizadas e visualizar informações pessoais sensíveis.
Como evitar ataques de preenchimento de credenciais
Utiliza palavras-passe fortes e únicas
Apesar da sensibilização generalizada, a reutilização de palavras-passe continua a ser comum. Um inquérito de segurança da Google revelou que 65% das pessoas reutilizam a mesma palavra-passe em várias contas.
Este comportamento aumenta significativamente o risco de preenchimento de credenciais. A utilização de palavras-passe fortes e únicas para cada conta é essencial para reduzir a exposição.
Criar uma frase-chave é uma abordagem eficaz. Uma frase-passe combina várias palavras memoráveis e pode ser reforçada com a adição de números e símbolos.
Utiliza um gestor de senhas
Os gestores de palavras-passe armazenam e encriptam de forma segura todas as tuas credenciais de início de sessão, permitindo-te utilizar palavras-passe fortes e únicas sem teres de te lembrar de todas.
A maioria dos gestores de senhas preenche automaticamente os detalhes de login apenas em sites legítimos, ajudando a proteger contra ataques de phishing e preenchimento de credenciais.
Implementa a autenticação multi-fator (MFA)
A autenticação multi-fator acrescenta uma camada extra de segurança, exigindo uma verificação adicional para além do nome de utilizador e da palavra-passe.
Mesmo que as credenciais sejam comprometidas, a MFA pode impedir que os atacantes acedam às contas sem o segundo fator de autenticação.
Monitoriza e bloqueia tentativas de início de sessão suspeitas
Os ataques de preenchimento de credenciais geram frequentemente grandes volumes de tentativas de início de sessão falhadas num curto período de tempo.
As organizações podem reduzir o risco implementando a limitação de taxas, monitorizando os padrões de início de sessão e bloqueando os endereços IP associados a actividades suspeitas ou fraudulentas.
Sabe mais sobre as soluções MetaCompliance
Prevenir o preenchimento de credenciais exige mais do que apenas controlos técnicos. A formação de funcionários ciberconscientes e a redução do risco humano são fundamentais para proteger as contas e os dados sensíveis contra a utilização indevida.
Explora o nosso conjunto abrangente de soluções concebidas para proteger a tua organização, reduzir o risco humano e melhorar a ciber-resiliência. A nossa Plataforma de Gestão de Riscos Humanos engloba:
- Security Awareness automatizada
- Simulações avançadas de phishing
- Risk Intelligence & Analytics
- Compliance Management
Para ver como estas soluções podem ajudar a mitigar os ataques baseados em credenciais e reforçar a postura de segurança da sua organização, contacta-nos hoje para marcar uma demonstração.
FAQs sobre o preenchimento de credenciais
O que é o "credential stuffing"?
O credential stuffing é um ataque informático em que nomes de utilizador e palavras-passe roubados são reutilizados para obter acesso a várias contas online.
Porque é que o credential stuffing é tão eficaz?
O preenchimento de credenciais explora a reutilização de palavras-passe, permitindo que os atacantes utilizem credenciais legítimas em vez de adivinharem as palavras-passe.
Como é que os atacantes obtêm as credenciais de início de sessão?
As credenciais são normalmente adquiridas na dark web na sequência de violações de dados em grande escala.
Que sectores estão mais em risco?
Os serviços financeiros, o comércio retalhista, o comércio eletrónico, os cuidados de saúde e a educação são alvos frequentes.