How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

Alto risco Perda média: $5,000 Duração típica: 1-30 days

Ataques de Credential Stuffing: Como Hackers Exploram Suas Senhas

Credential stuffing é um ataque automatizado onde hackers usam combinações de nome de usuário e senha roubadas para obter acesso não autorizado às suas contas em múltiplos sites e serviços. O ataque funciona porque muitas pessoas reutilizam a mesma senha em diferentes plataformas—quando uma empresa sofre uma violação de dados, criminosos compilam as credenciais vazadas e usam software especializado para testar rapidamente essas mesmas combinações de login em centenas de outros sites. De acordo com o Relatório de Investigação de Violações de Dados da Verizon de 2024, o comprometimento de credenciais está envolvido em mais de 40% das violações de dados, tornando-o um dos vetores de ataque mais comuns. Um único ataque de credential stuffing pode testar milhões de combinações de login em poucas horas, com taxas de sucesso entre 0,1% e 2%, dependendo da qualidade da lista de senhas do atacante. Isso significa que em uma lista de um milhão de credenciais roubadas, os atacantes podem conseguir acessar com sucesso 1.000 a 20.000 contas—e essas contas normalmente contêm informações financeiras, dados pessoais ou acesso a sistemas mais sensíveis. O perigo do credential stuffing vai além do comprometimento inicial da conta. Uma vez que os atacantes ganham acesso à sua conta de email, eles podem solicitar redefinições de senha em suas contas bancárias, redes sociais e criptomoedas. Se acessarem seu email corporativo através de credenciais do LinkedIn, ganham uma base para espionagem corporativa ou implantação de ransomware. O Centro de Reclamações de Crimes pela Internet do FBI de 2023 recebeu mais de 14.000 relatos relacionados ao comprometimento de credenciais, resultando em perdas superiores a 137 milhões de dólares. O ataque é particularmente insidioso porque as vítimas frequentemente não percebem que foram comprometidas até que apareçam cobranças fraudulentas em suas contas ou notem mudanças não autorizadas em suas informações de perfil. Violações em larga escala como as que afetaram LinkedIn (700 milhões de contas), Yahoo (3 bilhões de contas) e inúmeras redes varejistas criaram grandes bancos de dados de credenciais que criminosos exploram ativamente.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Obter listas de credenciais roubadas em marketplaces da dark web ou de violações anteriores de dados, depois usar ferramentas automatizadas como Sentry MBA ou OpenBullet para testar rapidamente essas credenciais contra portais de login de bancos, provedores de email, plataformas de redes sociais e sites de comércio eletrônico.
• Usar servidores proxy rotativos e endereços IP residenciais para distribuir requisições em múltiplos intervalos de IP, contornando medidas de segurança padrão de limitação de taxa que normalmente sinalizariam tentativas rápidas de login de uma única fonte.
• Testar credenciais primeiro em sites menos protegidos como contas de fórum ou varejistas antes de tentar alvos de alto valor como contas de email e bancárias, permitindo verificar quais credenciais ainda funcionam antes de direcionar contas financeiramente valiosas.
• Implementar variações ou mutações leves de senhas roubadas durante o ataque, como adicionar sufixos comuns como '123' ou '!' para levar em conta usuários que alteraram suas senhas ligeiramente após uma violação.
• Monitorar o acesso bem-sucedido à conta para identificar quais credenciais fornecem as informações mais valiosas, depois vender essas credenciais ativas verificadas na dark web ou usá-las para ataques secundários como takeover de conta ou roubo de identidade.
• Cronometrar ataques durante horas de pico baixo ou agendá-los em períodos estendidos para evitar disparar alertas de segurança que seriam gerados por grandes números de tentativas de login simultâneas falhadas.

Como identificar

Você recebe uma notificação de que alguém fez login em sua conta de um local ou dispositivo desconhecido, ou vê atividade de login em horários quando você não estava online.
Sua conta de email contém notificações de redefinição de senha ou tentativas de recuperação de conta que você não iniciou, indicando que alguém está tentando acessar sua conta.
Você nota atividade incomum como informações de perfil alteradas, compras não autorizadas, configurações de segurança modificadas ou aplicativos ou dispositivos conectados desconhecidos em sua conta.
Contas financeiras mostram transações não autorizadas, ou seu banco avisa sobre tentativas de login suspeitas mesmo que você use senhas fortes e únicas.
Você recebe alertas do seu provedor de email sobre atividade suspeita, tentativas de login falhadas de múltiplos locais ou solicitações para alterar sua senha de fontes que você não reconheceu.
Suas contas de redes sociais foram usadas para enviar mensagens não solicitadas ou requisições de amizade aos seus contatos, sinal de que alguém mais tem controle de suas credenciais de login.

Como se proteger

Crie senhas únicas e complexas para cada conta online usando um gerenciador de senhas como Bitwarden, 1Password ou Dashlane—evite reutilizar senhas em sites, pois é isso que permite que ataques de credential stuffing tenham sucesso.
Ative autenticação multifator (MFA) em todas as contas que a suportam, especialmente contas de email, bancárias, criptomoedas e redes sociais; use aplicativos autenticadores como Google Authenticator ou Authy em vez de SMS quando possível, pois SMS é vulnerável a SIM swapping.
Monitore suas contas regularmente para atividade suspeita e configure alertas de conta para logins de novos dispositivos ou locais; a maioria das grandes plataformas permite revisar sessões ativas e fazer logout de dispositivos desconhecidos.
Coloque um alerta de fraude ou congelamento de crédito junto à Equifax, Experian e TransUnion para impedir que atacantes abram novas contas em seu nome se obtiverem suas informações pessoais durante um comprometimento.
Verifique se seu endereço de email aparece em violações de dados conhecidas usando haveibeenpwned.com e researchbreaches.com; se encontrado em violações, altere imediatamente a senha dessa conta e qualquer outra que use as mesmas credenciais.
Mantenha seus dispositivos atualizados com os patches de segurança mais recentes e use software antivírus respeitável para evitar que keyloggers ou malware que rouba credenciais capture suas senhas antes delas chegarem ao site direcionado.

Casos reais

As credenciais do LinkedIn de uma desenvolvedora de software foram expostas em uma violação de 2021, mas ela não atualizou sua senha. Meses depois, atacantes usaram seu nome de usuário e senha vazados para acessar sua conta do LinkedIn, depois usaram o processo de recuperação de conta para redefinir sua senha do Gmail. Uma vez dentro de seu email, redefinram suas senhas do AWS, GitHub e conta bancária, ganhando acesso à infraestrutura em nuvem de sua empresa e poupança pessoal. Ela descobriu a violação quando a equipe de segurança de sua empresa detectou padrões incomuns de acesso ao AWS, revelando que o ataque já havia causado 8.000 dólares em cobranças fraudulentas de nuvem e exposto código de projeto confidencial.

Um gerente de varejo reutilizava a mesma senha em sua conta de trabalho, email e sistema bancário pessoal. Quando a varejista sofreu uma violação de dados expondo 50.000 credenciais de funcionários, atacantes imediatamente testaram essas credenciais contra sites bancários populares. A conta bancária do gerente foi acessada em 12 horas, e fraudadores transferiram 4.200 dólares para exchanges de criptomoedas antes que o sistema de detecção de fraude do banco disparasse uma retenção em transações adicionais. A investigação revelou que os atacantes testaram as credenciais em 47 sites diferentes, acessando com sucesso suas contas de email e PayPal também.

A proprietária de um negócio de comércio eletrônico notou estornos incomuns em sua conta de comerciante e descobriu que atacantes tiveram acesso ao seu email através de credential stuffing. Usando seu acesso de email, eles fizeram login no painel administrativo de sua plataforma de comércio eletrônico e modificaram preços de produtos, redirecionaram pagamentos dos clientes para contas controladas por atacantes e roubaram informações de pagamento dos clientes. Durante um período de 5 dias antes dela notar a fraude, os atacantes processaram 23.000 dólares em transações desviadas e comprometeram dados de pagamento para mais de 300 clientes, resultando em responsabilidade significativa e danos à reputação.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ataques de credential stuffing: como hackers exploram suas senhas is described at https://scamlens.org/pt/encyclopedia/credential-stuffing.

https://scamlens.org/pt/encyclopedia/credential-stuffing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API