Por que arrombar uma porta e disparar o alarme da casa quando você tem a chave e o código para entrar silenciosamente? Esse é o raciocínio por trás de uma tendência na cibersegurança: os cibercriminosos têm buscado cada vez mais roubar senhas, além de tokens de autenticação e cookies de login, para contornar a autenticação multifator (MFA) e acessar redes se passando por usuários legítimos.

Segundo um relatório da Verizon, o uso de credenciais roubadas tem sido um dos métodos mais comuns para obter acesso inicial nos últimos anos. Essa técnica apareceu em um terço (32%) dos vazamentos de dados do ano passado, aponta o relatório. Já a Mandiant, do Google, indicou no Relatório M-Trends 2025 que senhas roubadas superam o phishing como vetor de entrada em sistemas, ficando atrás apenas da exploração de vulnerabilidades, que ocupa o primeiro lugar.

No entanto, embora existam várias formas de obter credenciais, também há muitas oportunidades para impedir esse tipo de ataque.

Por que as credenciais são o ponto zero dos ciberataques

De acordo com uma estimativa, mais de 3,2 bilhões de credenciais foram roubadas de empresas em todo o mundo em 2024, um aumento anual de 33%. Com o acesso que essas credenciais proporcionam às contas corporativas, os cibercriminosos podem se mover silenciosamente nas sombras enquanto planejam seu próximo passo. Isso pode envolver formas mais avançadas de exploração criminosa, por exemplo:

  • Realizar um reconhecimento da rede: buscar dados, ativos e permissões de usuário a serem alvos em seguida.
  • Escalar privilégios: por exemplo explorando vulnerabilidades, com o objetivo de movimentar-se lateralmente até alcançar esses repositórios/sistemas de dados de alto valor.
  • Estabelecer comunicações encobertas com um servidor de comando e controle (C2) para descarregar malware adicional e exfiltrar dados.

Seguindo esses passos, um criminoso também poderia executar com sucesso campanhas de ransomware e outros tipos de ataques.

Como as senhas são obtidas

Os cibercriminosos desenvolveram várias formas de comprometer as credenciais corporativas dos funcionários ou, em alguns casos, até mesmo seus códigos de autenticação multifator (MFA). Entre elas estão:

  • Phishing: e-mails ou mensagens de texto falsos que parecem enviados por uma fonte oficial (por exemplo, o departamento de TI ou um fornecedor de tecnologia). O destinatário é motivado a clicar em um link malicioso que o leva a uma página de login falsa (por exemplo, Microsoft).
  • Vishing: variação do phishing em que a vítima recebe uma ligação telefônica do cibercriminoso. Ele pode se passar pelo suporte de TI para solicitar a senha da vítima ou pedir que registre um novo dispositivo MFA sob um pretexto falso. Também pode ligar alegando ser um executivo ou colaborador que precisa de uma redefinição urgente de senha para realizar tarefas.
  • Infostealers: malware projetado para obter credenciais e cookies de sessão do computador/dispositivo da vítima. Pode chegar por meio de um link ou anexo de phishing malicioso, um site comprometido, um app falso, um golpe em redes sociais ou até um mod não oficial de jogo. Acreditase que esses malwares foram responsáveis por 75% das credenciais comprometidas no ano passado.
  • Ataques de força bruta: incluem o chamado credential stuffing, em que adversários testam combinações de usuário e senha já vazadas contra sites e aplicativos corporativos. A reutilização de senhas explora o uso das mesmas senhas em diferentes serviços. Bots automatizados permitem escalonar esse processo até que alguma combinação funcione.
  • Violações em terceirizados: os criminosos atacam fornecedores ou parceiros que armazenam credenciais de clientes, como MSPs ou provedores de SaaS. Eles também podem adquirir grandes volumes de "combos" de usuários e senhas já comprometidos para utilizá-los em ataques futuros.
  • Evasão da MFA: as técnicas incluem a troca de SIM, o envio massivo de notificações de MFA para sobrecarregar a vítima e provocar "fadiga de alertas" até obter uma aprovação por push, e ataques AdversaryintheMiddle (AitM), nos quais os criminosos se posicionam entre o usuário e o serviço de autenticação legítimo para interceptar tokens de sessão MFA.

Nos últimos anos, diversos casos reais de senhas comprometidas resultaram em graves incidentes de segurança. Entre eles estão:

  • Change Healthcare: Em um dos ciberataques mais significativos de 2024, o grupo de ransomware ALPHV (BlackCat) paralisou a Change Healthcare, fornecedora norte-americana de tecnologia em saúde. O grupo criminoso aproveitou um conjunto de credenciais roubadas para acessar remotamente um servidor sem autenticação multifator (MFA) ativada. Em seguida, escalaram privilégios, movimentaram-se lateralmente pelos sistemas e implantaram ransomware, causando uma interrupção sem precedentes no sistema de saúde e o roubo de dados sensíveis de milhões de americanos.
  • Snowflake: O grupo criminoso UNC5537, motivado por ganhos econômicos, conseguiu acessar instâncias da base de dados de clientes da Snowflake de diversos clientes. Centenas de milhões de clientes foram impactados por essa campanha de extorsão e roubo de dados. Acredita-se que o invasor tenha obtido acesso aos ambientes por meio de credenciais previamente roubadas por malware de captura de informações.

Fique atento

Diante desse cenário, proteger as senhas dos colaboradores, tornar os logins mais seguros e monitorar continuamente o ambiente de TI em busca de sinais de vulnerabilidades é mais crucial do que nunca.

Grande parte dessa proteção pode ser alcançada por meio de uma abordagem de Zero Trust (Confiança Zero), baseada no princípio: nunca confie, sempre verifique. Isso envolve implementar autenticação baseada em risco tanto no "perímetro" quanto em múltiplas camadas dentro de uma rede segmentada. Usuários e dispositivos devem ser avaliados e pontuados de acordo com seu perfil de risco, considerando fatores como horário e local do login, tipo de dispositivo e comportamento durante a sessão.

Além disso, para reforçar a defesa da organização contra acessos não autorizados e garantir a conformidade regulatória, uma autenticação multifator (MFA) robusta é uma medida de segurança indispensável.

Essa abordagem deve ser complementada por programas atualizados de capacitação e conscientização para os colaboradores, incluindo simulações realistas que usam as técnicas mais recentes de engenharia social. Também são essenciais políticas e ferramentas rígidas que impeçam o acesso a sites de risco, onde malwares como infostealers podem estar à espreita, além de soluções de segurança instaladas em todos os servidores, endpoints e dispositivos. Ferramentas de monitoramento contínuo ajudam a identificar comportamentos suspeitos e a detectar invasores que tenham obtido acesso à rede por meio de credenciais comprometidas.

As organizações precisam também de mecanismos para reduzir o impacto de uma conta comprometida, por exemplo adotando o princípio do menor privilégio, que limita o acesso dos usuários ao que é estritamente necessário. O monitoramento da dark web pode auxiliar na identificação de credenciais corporativas à venda em fóruns clandestinos.

De forma mais ampla, contar com o apoio de um provedor especializado em detecção e resposta gerenciadas (MDR) é altamente recomendável, especialmente para empresas com recursos limitados. Um provedor MDR confiável oferece monitoramento contínuo, detecção proativa de ameaças 24 horas por dia e acesso a analistas experientes, capazes de entender as nuances de ataques baseados em credenciais e acelerar a resposta a incidentes quando contas comprometidas forem identificadas.