Ataques e ameaças
Credential stuffing
Também conhecido como: Replay de credenciais, Account checking
Definição
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
Exemplos
- Bots tentam autenticar-se num serviço de streaming com combolists de fóruns sem relação, para revender contas funcionais.
- Um retalhista observa um pico de logins de IPs residenciais em milhares de contas após uma fuga em terceiros.
Termos relacionados
Ataque de força bruta
Ataque que tenta sistematicamente todos os valores possíveis — normalmente palavras-passe, PIN ou chaves — até encontrar o correto.
Pulverização de palavras-passe
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
Ataque de dicionário
Ataque direcionado de adivinhação de palavras-passe que testa entradas de uma lista pré-compilada de palavras prováveis, palavras-passe vazadas e variações geradas por regras.
Info stealer
Malware que recolhe credenciais, cookies, tokens, carteiras de cripto e outros dados sensíveis do dispositivo infetado e os exfiltra para o atacante.
Autenticação multifator (MFA)
Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
Autenticação quebrada
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.