# DET0813 — Detection of Credentials ## Descrição Adversários buscam ativamente credenciais vazadas de organizações-alvo em repositórios de dados comprometidos, fóruns underground e plataformas de inteligência como HaveIBeenPwned, DeHashed e mercados na dark web. Credenciais obtidas de vazamentos anteriores são frequentemente testadas em sistemas corporativos via ataques de credential stuffing, permitindo acesso inicial sem exploração de vulnerabilidades técnicas. Grupos como [[lapsus-group]], [[g1015-scattered-spider|unc3944]] e atores de ransomware como [[blackcat]] utilizam credenciais adquiridas em fóruns como ponto de partida para intrusões na nuvem e VPNs corporativas. A técnica envolve também reconhecimento em busca de credenciais em código-fonte (repositórios GitHub), arquivos de configuração expostos e documentos internos inadvertidamente públicados. No contexto brasileiro, vazamentos de dados do setor financeiro e governo são frequentemente monetizados em fóruns como o BreachForums e canais Telegram especializados, onde credenciais de corporações específicas são comercializadas. Essa atividade se mapeia em [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] e [[t1552-unsecured-credentials|T1552-unsecured-credentials]]. A detecção deve combinar monitoramento externo (threat intelligence sobre vazamentos) com monitoramento interno (tentativas de uso de credenciais comprometidas). Implementar alertas para logins com credenciais que aparecem em bancos de dados de vazamentos conhecidos, monitorar tentativas de autenticação em massa (credential stuffing) e correlacionar IPs de login com listas de proxies e VPNs são estrategias complementares. Serviços de Digital Risk Protection especializados oferecem alertas proativos quando credenciais da organização surgem em novos vazamentos. ## Indicadores de Detecção - Tentativas de autenticação com credenciais que constam em bancos de dados de vazamentos conhecidos (Have I Been Pwned) - Padrão de credential stuffing: múltiplas tentativas de login de um IP com diferentes usuários e senhas - Logins bem-sucedidos de IPs associados a serviços de proxy ou VPN comercial - Autenticações em horários e localizações inconsistentes com o padrão histórico do usuário - Credenciais corporativas identificadas em novos dumps em fóruns underground via threat intel - Acessos simultâneos à mesma conta de localizações geográficas distintas (impossible travel) - Uso de credenciais de contas desativadas ou expiradas em tentativas de autenticação ## Técnicas Relacionadas - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de credenciais via reconhecimento - [[t1552-unsecured-credentials|T1552-unsecured-credentials]] — localização de credenciais em fontes expostas - [[t1110-brute-force|T1110-brute-force]] — uso de credenciais em ataques de credential stuffing - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais legítimas comprometidas para acesso - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — roubo de sessões como alternativa a credenciais ## Analytics Relacionadas - [[an1945-analytic-1945|AN1945 — Analytic 1945]] --- *Fonte: [MITRE ATT&CK — DET0813](https://attack.mitre.org/detectionstrategies/DET0813)*