Preenchimento de credenciais: o que é e como evitar

O que é preenchimento de credenciais?

O preenchimento de credenciais é um ciberataque no qual criminosos usam combinações de nome de usuário e senha roubados em violações de dados anteriores para acessar contas em outras plataformas. O termo foi cunhado pela primeira vez em 2011 por Sumit Agarwal, após observar ondas de tentativas de login usando credenciais vazadas; é um método comum em invasões de contas porque permite que atacantes usem credenciais reais vazadas em vez de adivinhar.

O preenchimento de credenciais costuma ser confundido com ataques de força bruta, mas é uma abordagem mais precisa. Ataques de força bruta se referem a qualquer método de tentar senhas repetidamente até que uma funcione, geralmente com base em adivinhação. O preenchimento de credenciais elimina a etapa de adivinhar, pois os atacantes já têm grandes listas de credenciais roubadas e usam ferramentas automatizadas para testá-las em sites, enviando ondas de tentativas de login para ver onde conseguem entrar.

A reutilização de senhas é o principal motivo pelo qual o preenchimento de credenciais é tão eficaz. Quando as pessoas usam os mesmos dados de login em vários sites, um único conjunto de credenciais exposto pode abrir e-mail, contas de compras, apps bancários e plataformas de trabalho. Como as credenciais são válidas, esses logins podem parecer legítimos, tornando o ataque mais difícil de detectar e interromper.

Como o preenchimento de credenciais funciona?

O preenchimento de credenciais funciona ao combinar grandes conjuntos de dados de credenciais reais de login vazadas em violações anteriores com ferramentas automatizadas para testar essas credenciais em muitos sites e serviços diferentes.

Esses bancos de dados, que geralmente contêm pares de e-mail ou nome de usuário e senha, são amplamente comercializados em fóruns de cibercrimes e mercados da dark web. Criminosos também podem obter credenciais por conta própria se conseguirem infiltrar os sistemas ou bancos de dados de uma empresa por meio de tentativas de phishing ou de ataques “man-in-the-middle”.

Depois que os criminosos obtêm essas listas, o processo de “preenchimento” envia grandes ondas de tentativas de login para plataformas como apps bancários, sites de e-commerce, contas de mídia social e ferramentas de trabalho. Quando uma conta é comprometida com sucesso, os hackers então tentam reutilizar essas credenciais para entrar em outras contas do usuário.

Para entender totalmente como funcionam os ataques de preenchimento de credenciais, aqui está a anatomia de um ataque típico:

1. Coleta de credenciais: os golpistas reúnem nomes de usuário e senhas vazados de violações de dados passadas ou por outros meios, geralmente agrupados em listas enormes e comercializados ou vendidos online.

2. Ferramentas de ataque são configuradas: ferramentas automatizadas como Sentry MBA, OpenBullet ou SNIPR são configuradas para testar essas credenciais em sites específicos. Essas ferramentas são amplamente conhecidas nos círculos de segurança e são mencionadas aqui para conscientização, não como endosso.

3. A automação faz o trabalho pesado: bots disparam milhares de tentativas de login em sequência rápida, verificando se as credenciais roubadas também funcionam em outros serviços online.

4. As defesas são silenciosamente evitadas: Para evitar serem detectados, os invasores mudam constantemente seu endereço IP para que o tráfego não pareça vir de um único local. Eles podem direcionar o tráfego por meio de redes proxy ou botnets formadas por dispositivos comprometidos. Muitas ferramentas também imitam o comportamento normal do navegador para evitar acionar filtros de segurança.

5. Logins bem-sucedidos são coletados e explorados: qualquer conta acessada com sucesso é sinalizada e frequentemente explorada ainda mais. Isso pode servir para cometer fraude, praticar roubo de identidade ou revender dados verificados em mercados clandestinos.

Depois de violar um banco de dados, um invasor testa credenciais roubadas em outros sites. A reutilização de senhas permite que ele acesse várias contas em diferentes serviços.

Se as senhas forem exclusivas para cada conta e aleatórias, elas se tornam muito mais difíceis de serem usadas por invasores. Mas quando as credenciais são armazenadas em texto simples ou protegidas com métodos de aleatorização fracos, os criminosos obtêm acesso imediato a dados de login utilizáveis. O fator tempo também desempenha um papel: credenciais recém-vazadas são as mais valiosas porque muitos usuários ainda não trocaram suas senhas.

Preenchimento de credenciais x ataques de força bruta

O preenchimento de credenciais é frequentemente categorizado junto com ataques de força bruta como parte de um conjunto mais amplo de técnicas de quebra de senha. O Open Web Application Security Project (OWASP), por exemplo, classifica o preenchimento de credenciais como um tipo de ataque de força bruta, pois ambos dependem de tentativas repetidas de login para invadir contas.

Na prática, porém, os dois ataques funcionam de maneiras bem diferentes:

• Ataques tradicionais de força bruta dependem de tentativa e erro. Os invasores tentam milhares ou milhões de senhas possíveis: combinações aleatórias de caracteres ou escolhas comuns como Senha123. Como a maioria das tentativas falha, esses ataques geram um número enorme de tentativas de login. Isso os torna relativamente lentos e mais fáceis de detectar e bloquear por sistemas modernos de segurança.

• Preenchimento de credenciais é muito mais eficiente. Em vez de adivinhar senhas, os criminosos usam dados de login expostos em violações de dados anteriores. Ferramentas automatizadas testam essas combinações reais de nome de usuário e senha em muitos sites e serviços. Como as pessoas tendem a reutilizar credenciais entre contas, o preenchimento de credenciais é mais rápido, mais econômico e mais difícil de impedir.

Preenchimento de credenciais x ataques de força bruta: principais diferenças

Duas técnicas relacionadas de quebra de senha são pulverização de senhas e ataques de dicionário. A pulverização de senhas testa uma única senha comum em muitas contas, ajudando os criminosos a evitar bloqueios. Ataques de dicionário usam ferramentas automatizadas para testar grandes listas de palavras comuns, frases e senhas vazadas anteriormente, explorando hábitos humanos previsíveis ao criar senhas.

Preenchimento de credenciais x pulverização de senhas

A pulverização de senhas costuma ser confundida com o preenchimento de credenciais porque ambos dependem de credenciais roubadas ou fracas, em vez de invadir sistemas diretamente. Mas o preenchimento de credenciais testa muitos pares conhecidos de nome de usuário e senha em vários sites, tentando reutilizar credenciais vazadas em violações anteriores. Já a pulverização de senhas tenta uma única senha comum em muitas contas.

Ambos os métodos evitam a adivinhação repetida que pode acionar alertas de segurança. Em vez disso, eles exploram práticas de senha fraca, especialmente credenciais previsíveis ou reutilizadas, mas abordam o ataque por ângulos diferentes.

Por que o preenchimento de credenciais é uma ameaça crescente?

O preenchimento de credenciais não está se espalhando porque os criminosos de repente ficaram mais sofisticados. A Internet moderna simplesmente oferece condições ideais para o ataque ganhar escala: um fluxo constante de credenciais vazadas, ampla reutilização de senhas e automação poderosa. Ao mesmo tempo, as pessoas gerenciam mais contas online do que nunca, ampliando a superfície potencial de ataque.

Dados recentes destacam a dimensão do problema. De acordo com o Relatório de Investigações de Violação de Dados da Verizon (DBIR) 2025:

• Credenciais comprometidas iniciaram 22% das violações analisadas.

• Apenas 49% das senhas dos usuários eram únicas entre os serviços, o que significa que mais da metade foi reutilizada.

• O preenchimento de credenciais representou uma mediana de 19% das tentativas diárias de autenticação, subindo para 25% em ambientes corporativos.

Veja por que o preenchimento de credenciais continua crescendo:

• Um fluxo interminável de logins roubados: grandes violações de dados frequentemente expõem bilhões de nomes de usuário e senhas, dando aos criminosos material novo para reutilizar em outros lugares. Em 2025, a empresa de inteligência de ameaças Synthient agregou 2 bilhões de endereços de e-mail exclusivos a partir de listas de preenchimento de credenciais encontradas online.

• Senhas reutilizadas: quando as mesmas credenciais protegem várias contas (e-mail, plataformas de compras, mídia social ou apps bancários) uma única violação pode funcionar como uma chave mestra, abrindo vários serviços de uma só vez.

• Ferramentas avançadas de automação: ferramentas modernas de ataque automatizam quase todas as etapas do processo. Bots alternam endereços IP, imitam o comportamento real do navegador e, às vezes, burlam CAPTCHAs, permitindo que os atacantes testem listas enormes de credenciais enquanto evitam sistemas simples de detecção.

• Mais contas para atacar: trabalho, serviços bancários, entretenimento e comunicação dependem cada vez mais de uma grande variedade de plataformas online. O trabalho remoto e os serviços baseados em app fazem com que indivíduos e organizações mantenham mais contas do que nunca, ampliando o conjunto de alvos em potencial.

• Altos lucros, mesmo com baixas taxas de sucesso: o preenchimento de credenciais não exige uma alta taxa de sucesso para ser lucrativo. Quando milhões de tentativas de login são feitas, mesmo uma pequena porcentagem de logins bem-sucedidos pode render contas valiosas, viabilizando fraude, roubo de identidade ou a revenda de credenciais verificadas em mercados clandestinos.

Exemplos reais de ataques de preenchimento de credenciais

O preenchimento de credenciais não é apenas um risco teórico. Ele afeta tanto usuários comuns quanto grandes empresas. Até mesmo grandes organizações com recursos significativos de segurança já foram vítimas, muitas vezes expondo dados confidenciais, prejudicando reputações e gerando penalidades regulatórias ou processos judiciais.

23andMe (2023)

Os criminosos reutilizaram credenciais de violações não relacionadas para acessar contas de usuários na plataforma de testes genéticos. Por meio de recursos como “DNA Relatives”, eles coletaram informações confidenciais de perfis, incluindo dados de ancestralidade e relacionados à saúde, afetando aproximadamente 7 milhões de usuários da 23andMe.

O incidente levou a uma análise regulatória, e a empresa foi multada em £2,31 milhões por não proteger os dados genéticos de seus usuários no Reino Unido. Isso também demonstrou como o preenchimento de credenciais pode expor informações pessoais mesmo quando os sistemas centrais da empresa não são violados diretamente.

General Motors (2022)

A General Motors sofreu um ataque de preenchimento de credenciais em que hackers acessaram contas de clientes e resgataram pontos de recompensa acumulados. As credenciais provavelmente foram obtidas em violações de serviços não relacionados. A GM respondeu notificando os usuários afetados e aconselhando-os a redefinir suas senhas e revisar seus extratos financeiros.

Dunkin’ Donuts (2018–2019)

A empresa sofreu dois ataques de preenchimento de credenciais em um período de três meses, visando contas de recompensas DD Perks de clientes. Os criminosos usaram credenciais vazadas de outros serviços para acessar contas que continham nomes de usuário e endereços de e-mail.

Após alegações de que incidentes anteriores não haviam sido totalmente divulgados, a Dunkin’ Donuts concordou em fortalecer suas medidas de cibersegurança e pagou US$ 650 mil em multas. Um dos scripts de automação usados nos ataques, o SNIPR, teria sido desenvolvido especificamente para mirar contas da Dunkin’ Donuts.

Uber (2016)

Uma grande violação expôs dados pertencentes a 57 milhões de passageiros e 7 milhões de motoristas. Os criminosos obtiveram acesso depois que desenvolvedores carregaram acidentalmente credenciais em um repositório do GitHub, que hackers descobriram e usaram para acessar sistemas internos. Posteriormente, a Uber admitiu que pagou US$ 100 mil aos criminosos para que excluíssem os dados roubados, em vez de divulgar imediatamente a violação.

As consequências dos ataques de preenchimento de credenciais

Bloqueio e tomada de contas, contas bancárias esvaziadas e roubo de identidade… o temido efeito dominó do preenchimento de credenciais. Uma senha comprometida pode ter consequências graves que vão muito além dessa única violação. As empresas correm risco de danos operacionais e reputacionais, sem falar em multas sérias e problemas com a Regulamentação Geral de Proteção de Dados.

Como o preenchimento de credenciais afeta indivíduos

O preenchimento de credenciais não termina quando o invasor sai da conta. Para as vítimas, o impacto costuma se prolongar, afetando nosso bolso, nossa privacidade e nossa tranquilidade muito depois da violação inicial.

Impacto financeiro

• Roubo de contas bancárias e carteiras digitais.

• Compras não autorizadas em seu nome por meio de contas de compras comprometidas e métodos de pagamento salvos.

• Roubo de identidade, incluindo empréstimos fraudulentos, abertura de novas contas ou fraude fiscal.

• Pontos de fidelidade e saldos roubados de companhias aéreas, varejistas e apps.

Impacto pessoal

• Sequestro de contas que impede o acesso dos usuários após a alteração de senhas.

• Perda de dados pessoais se o hacker excluir fotos, e-mails, contatos e arquivos em nuvem.

• Revenda de suas credenciais em mercados da dark web.

• Violação de privacidade se os hackers acessarem mensagens privadas e documentos confidenciais.

• Danos à reputação se suas contas sequestradas forem usadas para aplicar golpes ou enviar spam a outras pessoas.

Impacto emocional

• Estresse e ansiedade por perder o controle de suas informações pessoais e possivelmente de suas finanças.

• Esforços de recuperação tediosos enquanto você tenta conter os danos e retomar o controle.

• Confiança abalada em serviços online e medo constante de outro ataque.

Como o preenchimento de credenciais afeta as empresas

Para as empresas, o impacto de uma violação de dados pode ser severo. Se contas de clientes forem assumidas por invasores, elas se tornam plataformas para fraude e compras não autorizadas, o que pode ser especialmente desastroso para serviços financeiros e e-commerce.

As empresas enfrentam custos elevados de remediação, incluindo reembolsos para clientes e investigações internas de segurança. Há também o transtorno de redefinições forçadas de senha e atualizações de segurança. No Relatório da IBM sobre o Custo de uma Violação de Dados 2025, o custo médio global de uma violação de dados é de US$ 4,4 milhões.

E a exposição reputacional, operacional e regulatória pode ser igualmente onerosa. Incidentes públicos de segurança corroem a confiança do cliente, aumentam a evasão e enfraquecem o valor da marca no longo prazo, enquanto grandes ondas de tentativas automatizadas de login podem sobrecarregar a infraestrutura, deixando os sistemas mais lentos para usuários e funcionários legítimos. As organizações podem enfrentar penalidades sob leis de proteção de dados como Regulamentação Geral de Proteção de Dados, Lei de Privacidade dos Consumidores da Califórnia ou HIPAA se não conseguirem proteger adequadamente as contas dos usuários.

Há também o perigo sempre presente do movimento lateral, como chamam os especialistas em segurança. Depois que um criminoso ganha um ponto de apoio em um sistema, quem sabe o que ele vai acessar em seguida ou desencadear?

Como detectar e responder a ataques de preenchimento de credenciais

Se você notar qualquer um dos seguintes sinais de alerta, redobre o cuidado. Eles podem indicar que alguém está testando suas credenciais e tentando realizar um ataque de preenchimento de credenciais. Reconhecer os sinais cedo pode ajudar você a agir rapidamente para proteger suas contas e limitar possíveis danos.

Etapas para indivíduos

Os seguintes sinais de alerta podem indicar um ataque de preenchimento de credenciais: repetidos bloqueios de conta, desempenho lento do site durante tentativas de login ou um aumento de alertas de login malsucedido.

Você também pode notar atividade não autorizada, como compras ou alterações na conta que você não fez, ou tentativas de login vindas de locais incomuns, o que pode sinalizar bots automatizados operando em redes globais.

Veja o que fazer se você suspeitar de um ataque de preenchimento de credenciais:

• 

  Altere e fortaleça as senhas: crie uma senha nova, forte e única para a conta afetada e depois atualize quaisquer outras contas que usem as mesmas credenciais. Garanta que cada senha seja complexa e nunca reutilizada em diferentes serviços.

• 

  Ative a Autenticação Multifator (MFA): a MFA adiciona uma segunda camada crítica de segurança. Mesmo que alguém tenha sua senha, não conseguirá acessar a conta sem a etapa adicional de verificação, como um código enviado para seu telefone ou e-mail.

• 

  Verifique se houve exposição de dados: pesquise em serviços de monitoramento de vazamentos, como o Hack Check, para verificar se seu endereço de e-mail ou outras credenciais apareceram em vazamentos de dados conhecidos.

• 

  Use ferramentas de monitoramento de vazamentos: Vá ainda mais longe com alertas automatizados de ferramentas como o Avast BreachGuard, que monitoram continuamente a web e até mesmo a dark web em busca de sinais de que seus dados pessoais foram envolvidos em uma violação de segurança. O serviço também inclui conselhos inteligentes de privacidade e suporte especializado caso algo dê errado.

Etapas para empresas

Para organizações, a detecção precoce e a ação rápida podem significar a diferença entre um incidente contido e uma violação em larga escala. As etapas a seguir ajudam a identificar e limitar ataques de preenchimento de credenciais.

• 

  Atenção a picos de falha no login: Um aumento repentino nas tentativas de login malsucedidas costuma ser um dos primeiros indicadores de uma campanha de preenchimento de credenciais.

• 

  Acompanhe comportamentos anormais de login: logins em horários incomuns, a partir de dispositivos desconhecidos ou com padrões irregulares podem sinalizar tentativas de acesso não autorizado.

• 

  Monitore atividades incomuns de IP: tentativas repetidas de login vindas de vários endereços IP, rotação rápida de IP ou tráfego originado de regiões inesperadas podem indicar atividade automatizada de bots.

• 

  Implemente detecção de violação: use sistemas automatizados de monitoramento que detectem quando credenciais de funcionários ou clientes aparecem em violações de dados conhecidas e acionem alertas ou redefinições forçadas de senha.

• 

  Limite a taxa e bloqueie temporariamente a atividade: restrinja tentativas de login de fontes suspeitas enquanto investiga. A limitação de taxa e os bloqueios temporários podem desacelerar ataques automatizados e reduzir danos potenciais.

• 

  Responda rapidamente com proteções à conta: bloqueie imediatamente as contas afetadas, redefina as credenciais comprometidas e notifique os usuários para que possam proteger quaisquer contas relacionadas. A comunicação rápida ajuda a evitar exploração adicional.

Como ajudar a prevenir ataques de preenchimento de credenciais

Felizmente, o preenchimento de credenciais é altamente evitável. Esses ataques dependem principalmente da reutilização de senhas e da automação em larga escala. Práticas de senha forte e algumas medidas-chave de segurança podem bloquear a maioria das tentativas antes que elas tenham sucesso.

Dicas de prevenção para indivíduos

O preenchimento de credenciais prospera com senhas reutilizadas e hábitos fracos de segurança. Fortalecer suas práticas de login é uma das defesas mais eficazes.

• Use senhas fortes e únicas: evite reutilizar senhas e não use dados pessoais, como nomes de pets ou datas de nascimento. As orientações atuais do NIST enfatizam senhas mais longas, com até 64 caracteres, porque o comprimento aumenta significativamente a complexidade da senha. Se uma senha for fácil de lembrar, geralmente também é fácil de adivinhar.

• Use um gerenciador de senhas: gerenciadores de senhas geram e armazenam com segurança credenciais fortes e exclusivas para cada conta. Isso elimina a necessidade de lembrar dezenas de senhas complexas e evita a reutilização entre serviços.

• Ative a autenticação multifator (autenticação de dois fatores ou MFA): adicionar uma segunda etapa de verificação (ou mais), como um código em um app ou por SMS, ajuda a impedir criminosos mesmo que eles tenham roubado sua senha. Saiba mais sobre como funciona a autenticação de dois fatores.

• Use autenticação sem senha, se disponível: tecnologias como chave de acesso ou logins biométricos eliminam as senhas por completo, cortando o principal mecanismo de que os ataques de preenchimento de credenciais dependem.

• Adote a autenticação contínua: sistemas de autenticação contínua monitoram o comportamento e o contexto do usuário, como padrões de digitação, tipo de dispositivo e localização. Se algo parecer repentinamente incomum, o sistema pode sinalizar a atividade ou bloquear o acesso mesmo após o login.

• Ative a proteção contra senhas vazadas: monitores de violação de segurança como o Avast BreachGuard notificam você se suas credenciais aparecerem em vazamentos de dados conhecidos, permitindo que você redefina rapidamente as senhas afetadas e proteja suas contas.

Dicas de prevenção para empresas

Não existe uma solução única para o preenchimento de credenciais. A proteção eficaz exige uma abordagem em camadas que proteja os sistemas de login, combinando conscientização do usuário com ferramentas automatizadas de detecção.

Estas etapas práticas podem ajudar as empresas a impedir ataques de preenchimento de credenciais:

• Ative a autenticação multifator (MFA): nomes de usuário e senhas roubados são muito menos úteis quando uma etapa adicional de verificação é exigida.

• Adote a autenticação sem senha: substituir senhas tradicionais por biometria, tokens de hardware ou chave de acesso elimina o principal mecanismo do qual os ataques de preenchimento de credenciais dependem. Isso também pode simplificar a experiência de login para os usuários.

• Use o login único (SSO): o SSO permite que os usuários se autentiquem uma vez e acessem com segurança vários aplicativos. A autenticação centralizada pode melhorar tanto a usabilidade quanto a segurança quando implementada corretamente.

• Bloqueie senhas violadas: verifique as senhas dos usuários em bancos de dados de credenciais comprometidas conhecidas e exija redefinições quando forem encontradas correspondências. Isso impede que os usuários escolham senhas já expostas em violações anteriores.

• Use autenticação adaptativa e monitore a atividade de login: implemente sistemas que detectem comportamento suspeito de login, como tentativas feitas a partir de dispositivos, locais ou endereços IP desconhecidos. Picos súbitos em tentativas de login malsucedidas podem sinalizar um ataque em andamento.

• Aplique limitação de taxa e controles de IP: limite o número de tentativas de login permitidas dentro de um período específico e bloqueie endereços IP abusivos. Essas medidas ajudam a interromper ataques automatizados em larga escala.

• Detecte e bloqueie bots: ferramentas de detecção de bots e CAPTCHAs ajudam a distinguir usuários reais de tentativas automatizadas de login.

• Eduque os funcionários sobre as melhores práticas de segurança: mesmo controles técnicos fortes podem falhar se os usuários expuserem credenciais sem perceber. Incentive senhas únicas, ensine a equipe a reconhecer tentativas de phishing e estabeleça procedimentos claros para relatar atividades suspeitas.

• Mantenha um plano testado de resposta e recuperação a incidentes: a preparação faz a diferença. Um plano de resposta bem definido permite que as organizações contenham violações rapidamente e minimizem danos operacionais, financeiros e reputacionais.

Também é prudente contar com um plano de recuperação de desastres, para que você possa agir rapidamente após uma violação de dados, ciberataque (ou até mesmo uma inundação). Isso ajuda a minimizar o impacto operacional, reputacional e financeiro para a empresa.

Você também pode considerar uma solução única e conveniente, como o Avast Business Hub, para uma cibersegurança unificada e em camadas. Ele permite monitorar e gerenciar ameaças em uma plataforma intuitiva.

Ajude a proteger suas contas contra ataques de preenchimento de credenciais

O preenchimento de credenciais muitas vezes só tem sucesso porque os criminosos exploram erros comuns, como usar a mesma senha em várias contas ou demorar demais para trocar uma senha que você sabe que foi comprometida. Fortalecer suas defesas começa com conscientização, mas não deve parar por aí.

O Avast BreachGuard ajuda a monitorar o web em busca de credenciais expostas e avisa você se suas informações aparecerem em uma violação. Com monitoramento da dark web e ferramentas para identificar senhas fracas ou reutilizadas, ele ajuda você a proteger suas contas antes que os criminosos possam tirar proveito. Não espere levar um choque na forma de uma conta comprometida; assuma o controle da sua segurança digital hoje mesmo.