Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 011

Apropriação de conta (ATO)

Revisado porCybersecurity entrepreneur & security researcher

O que é Apropriação de conta (ATO)?

Apropriação de conta (ATO)Ataque em que um criminoso obtém controlo não autorizado de uma conta legítima e a usa para roubar dinheiro, dados ou cometer mais fraudes.


A apropriação de conta ocorre quando um atacante obtém credenciais válidas, tokens de sessão ou canais de recuperação da conta de uma vítima e se autentica em seu nome. Os vetores comuns incluem phishing, malware info-stealer, credential stuffing com palavras-passe vazadas, SIM swap para intercetar códigos SMS, abuso de consentimentos OAuth e fragilidades nos fluxos de recuperação de conta. Uma vez dentro, os criminosos exfiltram dados, esvaziam carteiras, redirecionam pagamentos salariais, enviam phishing a partir de endereços de confiança ou pivotam para outros sistemas.

O credential stuffing é o caminho mais industrializado. Na violação da 23andMe em 2023, um atacante reproduziu pares de utilizador/palavra-passe vazados de sites não relacionados contra a página de login ao longo de cerca de cinco meses a partir de abril de 2023. Apenas cerca de 14.000 contas foram diretamente quebradas — mas, como a 23andMe não impunha MFA e a funcionalidade DNA Relatives expunha perfis ligados, o intruso raspou dados genéticos e de ascendência de aproximadamente 6,9 milhões de pessoas. O caso mostra como a reutilização de palavras-passe somada à ausência de MFA transforma um punhado de logins comprometidos numa exposição massiva de dados, e por que importa detetar tentativas de login sustentadas e distribuídas.

As mitigações incluem MFA resistente a phishing (FIDO2/passkeys), vinculação de dispositivo, analítica de logins baseada em anomalias, autenticação reforçada para ações de risco, deteção de palavras-passe vazadas (alinhada com NIST SP 800-63B), limitação de taxa e deteção de bots no login, e revogação rápida de sessões e tokens quando se deteta abuso.

flowchart LR
  L[Credenciais vazadas /<br/>phishing / info-stealer] --> A[Atacante]
  A --> B{Tentativa de login}
  B -->|sem MFA| C[Conta comprometida]
  B -->|MFA resistente a phishing<br/>+ deteção de anomalias| D[Bloqueado / autenticação reforçada]
  C --> E[Roubo de dados, fraude,<br/>raspagem de perfis ligados]
  C --> F[Pivô lateral /<br/>enviar phishing a partir de conta de confiança]
  D -.->|pontuação de risco| G[Revogação de sessão e token]

Exemplos

  1. 01

    Reutilizar credenciais vazadas de outro site para aceder a um portal bancário.

  2. 02

    A violação da 23andMe em 2023 por credential stuffing, que expôs dados de ~6,9 milhões de utilizadores.

Perguntas frequentes

O que é Apropriação de conta (ATO)?

Ataque em que um criminoso obtém controlo não autorizado de uma conta legítima e a usa para roubar dinheiro, dados ou cometer mais fraudes. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Apropriação de conta (ATO)?

Ataque em que um criminoso obtém controlo não autorizado de uma conta legítima e a usa para roubar dinheiro, dados ou cometer mais fraudes.

Como se defender contra Apropriação de conta (ATO)?

As defesas contra Apropriação de conta (ATO) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Apropriação de conta (ATO)?

Nomes alternativos comuns: ATO, Comprometimento de conta.

Termos relacionados

Ver também