det0460-credential-stuffing-detection-via-reused-breached-credentials-across-ser

# DET0460 — Credential Stuffing Detection via Reused Breached Credentials Across Services ## Descrição Credential stuffing é um ataque em que adversários utilizam listas de credenciais vazadas em breaches anteriores para tentar autenticação em múltiplos serviços, explorando a tendência de usuários de reutilizar senhas. Diferente de ataques de força bruta, o credential stuffing utiliza pares usuário/senha válidos de outros contextos, o que eleva significativamente a taxa de sucesso e dificulta a detecção por limiares simples de falha de autenticação. O Brasil é um alvo frequente de credential stuffing devido à grande exposição de credenciais de usuários brasileiros em breaches globais e locais. Serviços financeiros, portais de governo, plataformas de e-commerce e sistemas de saúde são alvos prioritários. Ferramentas como Sentry MBA, OpenBullet e Credmaster são utilizadas para automatizar ataques em larga escala, frequentemente distribuídos através de redes de proxy residencial para evitar bloqueios por IP. A detecção eficaz combina correlação de múltiplas fontes: identificar padrões de login bem-sucedido após múltiplas falhas em outros serviços, correlacionar IPs com serviços de inteligência de ameaças (detecção de proxy residencial), identificar user-agents automatizados, e verificar credenciais contra bases de dados de breaches conhecidos (Have I Been Pwned, DeHashed). ## Indicadores de Detecção - Alto volume de tentativas de autenticação de um único IP ou range de IP em curto período - Taxa de sucesso incomum em autenticações (ex: 1-5% de sucesso consistente, típico de credential stuffing vs. 0% de brute force) - User-agent string incomum ou rotacionando entre requests de autenticação do mesmo IP - Login bem-sucedido de IP classificado como proxy residencial, VPN ou Tor pelo threat intelligence - Múltiplos logins bem-sucedidos de contas diferentes originando do mesmo IP em < 60 segundos - Credencial que aparece em base de dados de breach sendo usada com sucesso em serviço diferente do breach ## Técnicas Relacionadas - [[T1110004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1589001-credentials|T1589.001 — Credentials]] - [[T1090003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an1262-analytic-1262|AN1262 — Analytic 1262]] - [[an1263-analytic-1263|AN1263 — Analytic 1263]] - [[an1264-analytic-1264|AN1264 — Analytic 1264]] - [[an1265-analytic-1265|AN1265 — Analytic 1265]] - [[an1266-analytic-1266|AN1266 — Analytic 1266]] - [[an1267-analytic-1267|AN1267 — Analytic 1267]] - [[an1268-analytic-1268|AN1268 — Analytic 1268]] - [[an1269-analytic-1269|AN1269 — Analytic 1269]] - [[an1270-analytic-1270|AN1270 — Analytic 1270]] --- *Fonte: [MITRE ATT&CK — DET0460](https://attack.mitre.org/detectionstrategies/DET0460)*