O phishing de credenciais é um tipo específico de phishing Ataque cibernético que tem como objetivo fazer com que os usuários compartilhem suas credenciais (geralmente nomes de usuário e senhas) para que o invasor possa roubá-las e usá-las para obter acesso não autorizado a contas de e-mail, sistemas comerciais e outros recursos seguros. Esse tipo de roubo de credenciais é um subconjunto do phishing em geral, que, de forma mais ampla, tenta roubar vários tipos de informações confidenciais, inclusive detalhes de cartões de crédito ou de contas bancárias, números de Seguro Social e informações organizacionais valiosas, como dados de clientes ou propriedade intelectual.
O phishing de credenciais é um problema crescente, para dizer o mínimo: um estudo relatou um 703% aumento no phishing de credenciais no segundo semestre de 2024, em comparação com um aumento de apenas 202% nas ameaças gerais de phishing baseadas em e-mail. (Você sabe que há um grande problema quando um aumento de 202% pode ser considerado relativamente baixo). O enorme aumento pode ser atribuído a uma combinação de fatores:
- Ataques de phishing com tecnologia de IA tornam mais fácil do que nunca para os criminosos cibernéticos gerarem mensagens convincentes projetadas para fazer com que os usuários caiam em solicitações de credenciais falsas.
- Engenharia social, que tem sido altamente eficaz em enganar os usuários para que cliquem em links em mensagens de phishing, está desempenhando um papel cada vez maior no phishing de credenciais.
- Multicanal O phishing de credenciais, ou seja, o uso não apenas de e-mail, mas também de SMS, mídia social e plataformas de colaboração, aumenta o alcance dos invasores.
Todos os itens acima estão acontecendo no contexto do fato de que o roubo de credenciais tem sido, e continua sendo, um baixo esforço, alta recompensa tipo de ataque.
A boa notícia? Embora os ataques de phishing de credenciais estejam aumentando, o mesmo acontece com os esforços de segurança das organizações para evitar o phishing, que variam de autenticação sem senha e autenticação multifatorial (MFA) a ferramentas de defesa com tecnologia de IA. Continue lendo para saber mais sobre como o phishing de credenciais evoluiu ao longo do tempo, as táticas mais comuns usadas nesses tipos de ataques e as ferramentas e estratégias disponíveis para combater o phishing de credenciais.
Meados da década de 1990: O phishing de credenciais mais antigo parece ter ocorrido em meados da década de 1990, quando fraudadores se fizeram passar por funcionários da AOL para enganar os usuários e fazê-los revelar suas credenciais de login. Embora pareça que seu objetivo era simplesmente evitar o pagamento pelo acesso à Internet, suas atividades abriram caminho para golpes mais sofisticados, destrutivos e caros no futuro.
Início dos anos 2000: No início dos anos 2000, o phishing de credenciais ainda era relativamente pouco sofisticado, muitas vezes contando com mensagens simplistas e produzidas em massa para fazer com que as pessoas compartilhassem suas credenciais de login. O ano de 2003 marcou o início de uma mudança nesse padrão, quando os atacantes começaram a criar versões quase idênticas de sites legítimos, como eBay e PayPal, para induzir os usuários a inserir suas credenciais.
2010-2020: O spear phishing surgiu na década de 2010 para transformar o roubo de credenciais, especialmente em nível organizacional. Ele funciona visando habilmente pessoas específicas com mensagens bem elaboradas que, muitas vezes, fingem ser de departamentos essenciais, como RH, faturamento ou suporte de TI. Comprometimento de e-mail comercial (BEC) é um tipo de ataque de engenharia social que usa phishing na forma de imitações de e-mail extremamente sofisticadas (como solicitações falsas de executivos de nível C) para atingir os destinatários, que são enganados e pensam que estão respondendo a alguém de sua organização.
2020 até o presente: Atualmente, é cada vez mais provável que o phishing de credenciais seja Orientado por IA, permitindo que os invasores gerem e-mails de phishing que são gramaticalmente perfeitos, perfeitamente contextuais e mais autênticos do que nunca. A IA generativa também está tornando incrivelmente rápido e fácil criar essas mensagens novas e mais atraentes; de acordo com IBM, Com o uso de IA generativa, os golpistas podem desenvolver mensagens eficazes em apenas cinco minutos (em vez das horas que podem ser necessárias para fazer isso manualmente).
No phishing de credenciais, o invasor normalmente se faz passar por uma fonte confiável (como o empregador, o banco ou o site usado com frequência pelo usuário) e envia ao usuário um e-mail, uma mensagem de texto ou outro tipo de mensagem com o objetivo de fazer com que ele execute uma ação que resultará no comprometimento de suas credenciais. Dentro dessa estrutura geral, um invasor pode usar várias táticas diferentes para realizar ataques de phishing de credenciais:
E-mails enganosos
Os e-mails enganosos são o ponto de entrada típico de muitos ataques de phishing de credenciais. Esses tipos de e-mails são frequentemente bem-sucedidos como veículos para phishing de credenciais porque parecem vir de fontes nas quais o destinatário confia e, portanto, não devem levantar suspeitas. Quanto mais genuína uma comunicação por e-mail parecer, maior será a probabilidade de o remetente ser bem-sucedido na tentativa de explorar essa confiança.
As características de um ataque de phishing de credenciais que usa comunicações enganosas incluem:
- Falsificação de identidade: A comunicação parece ser de uma fonte legítima que já é conhecida pelo destinatário.
- Persuasão: A linha de assunto e/ou as primeiras palavras são escritas para provocar uma reação como urgência, medo ou mesmo apenas curiosidade. Os criminosos cibernéticos prosperam com a urgência, pois ela tende a forçar os usuários a reagir rapidamente, em vez de dedicar tempo para considerar se devem ou não agir.
- Engano: A mensagem enfatiza uma necessidade inexistente de ação extremamente urgente.
- Capacidade de ação: Os e-mails de phishing tendem a incluir um link ou anexo que facilita a execução da próxima etapa.
- Mais engano: A ação do destinatário leva a uma página de login falsa, na qual as credenciais são capturadas.
Páginas de login falsas
Páginas de login falsas são uma das ferramentas mais comuns usadas em ataques de phishing de credenciais em ambientes organizacionais. Elas são extremamente eficazes em organizações que não possuem MFA resistente a phishing.
Os ataques que usam páginas de login falsas começam com um reconhecimento por parte do invasor para descobrir quais serviços de plataformas uma organização normalmente usa (Microsoft 365 ou Google Workspace, por exemplo) e como são os formatos de e-mail e a marca da organização. A partir daí, o invasor pode criar um e-mail de phishing de credenciais que pareça ser de um departamento interno ou de um fornecedor conhecido e que inclua uma linha de assunto destinada a evocar um senso de urgência ("Expiração da senha - ação imediata necessária" ou "Sua fatura está pronta - visualize com segurança"), bem como um link proeminente para uma página de login falsa.
Quando um funcionário clica no link e insere suas credenciais na suposta página de login, as credenciais são encaminhadas para o invasor, que pode usá-las para fazer login nos sistemas organizacionais e se mover lateralmente pela rede - filtrando dados, plantando malware, lançando outros ataques de BEC ou fazendo phishing a partir de uma conta comprometida.
Táticas multicanal
O e-mail não é a única forma de phishing de credenciais e, à medida que os usuários se tornam mais conscientes e aptos a se defenderem contra o phishing de credenciais baseado em e-mail, os invasores estão se ramificando para outras vias de ataque, inclusive:
- Smishing (phishing por SMS) pode ser usado para enviar mensagens de texto com alertas de login falsos, avisos de rastreamento de pacotes ou solicitações de autenticação de dois fatores para induzir os usuários a clicar em um link.
- Vishing (phishing por voz) consiste em chamadas que fingem ser do help desk ou da equipe de suporte de TI e direcionam os usuários para um site de phishing.
- Phishing em plataformas de colaboração usa mensagens no Slack, Teams, LinkedIn ou outras plataformas para fazer com que os usuários cliquem em links falsos ou baixem anexos que parecem ser conteúdo relacionado ao trabalho.
- Phishing de código QR envolve o envio de e-mails de phishing de credenciais que incluem códigos QR com links para sites de coleta de credenciais; o uso de códigos QR contorna os filtros tradicionais de verificação de links.
Recheio de credenciais
O preenchimento de credenciais, no qual os criminosos cibernéticos usam um grande número de credenciais roubadas para tentar fazer logins em vários sites, é uma tática que funciona em conjunto com o phishing de credenciais para maximizar os danos causados por ele. Os dois podem ser usados juntos em ataques em camadas, nos quais as credenciais são coletadas por meio de phishing de credenciais e, em seguida, aplicadas nos alvos.
Por exemplo, um invasor pode fazer phishing de credenciais de login para uma conta do Microsoft 365 e, em seguida, usar o preenchimento de credenciais para testar as credenciais da Microsoft em vários outros sites ou serviços, por exemplo, Salesforce, Google (e-mail, documentos, gerenciador de senhas). O invasor está basicamente apostando que alguém está usando as mesmas credenciais em vários sites.
Pulverização de senha
Assim como o preenchimento de credenciais, a pulverização de senhas é usada em conjunto com o phishing de credenciais para maximizar o alcance e o sucesso do ataque de phishing, especialmente em ambientes organizacionais. Nesse tipo de esquema, o invasor:
- Coleta uma lista de nomes de usuário por meio de phishing de credenciais
- Combina um nome de usuário com uma senha fácil de adivinhar (como password123 ou welcome123) para tentar acessar várias contas
O motivo mais óbvio pelo qual a pulverização de senhas funciona é que ela explora uma higiene de senhas fraca; se as pessoas não usassem senhas fáceis de adivinhar, a tática não iria longe. Também é difícil de detectar em escala sem ferramentas avançadas de monitoramento.
Phishing com validação de precisão
O phishing com validação de precisão surgiu em 2025 como uma forma de os invasores terem certeza de que as credenciais que roubam por meio de phishing estão de fato associadas a contas on-line válidas. Ele usa uma API integrada ou JavaScript para confirmar o endereço de e-mail em tempo real, antes que a tentativa de phishing ocorra. O phishing validado pelo Prevision pode tornar o phishing de credenciais muito mais eficiente e preciso, com pouco esforço ou energia desperdiçados na tentativa de usar credenciais imprecisas.
O phishing de credenciais pode causar muitos danos a uma organização. O Relatório sobre o custo de uma violação de dados da IBM descobriu que o phishing era uma das causas mais frequentes e mais caras de violações de dados, custando uma média de $4,88 milhões e levando uma média de 261 dias para ser contido.
Mas a prevenção de phishing de credenciais pode ajudar a garantir que as tentativas de phishing de credenciais nunca cheguem longe. A RSA oferece uma ampla gama de produtos e serviços em áreas importantes relacionadas à prevenção de phishing de credenciais.
Autenticação sem senha
Isso pode parecer óbvio, mas vale a pena ressaltar: O crime cibernético que se baseia em credenciais roubadas não funcionará se não houver credenciais para roubar. É isso que faz com que autenticação sem senha tão valiosos para impedir o phishing de credenciais.
Como membro da Aliança FIDO, A RSA se dedica a ajudar a construir um mundo com menos senhas e menos problemas de segurança relacionados a senhas. A autenticação sem senha da RSA protege o acesso onde ele é mais importante: nos pontos do ciclo de vida da identidade que são especialmente vulneráveis a ataques baseados em credenciais. A RSA fornece a autenticação sem senha com disponibilidade de 99,99%, incluindo um failover híbrido recurso que permite a autenticação mesmo sem uma conexão de rede e fornece uma ampla gama de opções sem senha:
- senhas de uso único (OTPs)
- chaves de acesso, inclusive chaves de acesso móveis
- opções baseadas em aplicativos, como push to approve
- biometria
MFA resistente a phishing
Assim como a autenticação sem senha remove as credenciais que o phishing de credenciais está tentando roubar, a MFA resistente a phishing remove o mecanismo pelo qual elas são roubadas: o phishing.
A série de autenticadores RSA iShield Key 2 foi projetado especificamente para proteger contra ataques baseados em credenciais, oferecendo MFA resistente a phishing e baseada em hardware e incorporando um módulo criptográfico com certificação FIPS 140-3 nível 3 e autenticação de hardware AAL3. Os benefícios da série RSA iShield incluem:
- Conformidade com os mais recentes padrões federais de segurança criptográfica
- Recursos de segurança de identidade que promovem a arquitetura Zero Trust
- Certificação FIDO2 para uma jornada sem senha segura e sem atritos
- Implementação e gerenciamento flexíveis de chaves de acesso
Logon único com provedores de identidade
Usar o serviço de autenticação centralizado de um provedor de identidade para fazer login em vários sites e serviços significa que os possíveis pontos de entrada dos invasores são drasticamente reduzidos de centenas para apenas um - e um ponto de entrada é muito mais fácil de proteger e monitorar do que dezenas de logins diferentes.
Minha página da RSA é a solução de SSO hospedada na nuvem que permite que os usuários gerenciem de forma rápida e segura o acesso a aplicativos essenciais e outros recursos por meio de um único portal conveniente para:
- Acesso rápido do usuário a vários aplicativos com um único conjunto de credenciais
- Auto-registro conveniente do autenticador e auto-gerenciamento da credencial
- Redução da carga e minimização dos custos da equipe de help desk e dos administradores de TI
- Tempos de espera mais curtos quando há uma necessidade legítima de assistência do help desk
Chaves de acesso
As senhas oferecem aos usuários uma maneira de fazer login em sites e aplicativos sem precisar digitar uma senha, tornando o processo de login mais seguro (sem senhas para serem roubadas) e mais conveniente (sem senhas para lembrar). As chaves de acesso são muito mais seguras do que as senhas porque nunca são reutilizadas como as senhas são e porque são resistentes a phishing (já que eliminam qualquer chance de alguém ser enganado para fazer login em um site falso).
Passkeys no aplicativo RSA Authenticator oferecem autenticação sem senha e resistente a phishing, fornecida diretamente aos dispositivos móveis dos usuários. Esse recurso de chave de acesso:
- Oferece suporte ao Zero Trust, abordando a engenharia social e o phishing de credenciais
- Ajuda as organizações a se adequarem aos requisitos regulatórios para MFA resistente a phishing
- Integra-se facilmente a qualquer ambiente de TI existente
- É vinculado ao dispositivo, portanto, nunca sai do dispositivo - garantindo a mais alta segurança possível
Confiança zero
Zero Trust combate o phishing porque cria um ambiente no qual as organizações estão sempre verificando a confiabilidade daqueles que estão tentando acessar os recursos da organização. As organizações que operam de acordo com a Princípios do Zero Trust tornam muito mais difícil para os agentes mal-intencionados que desejam fazer phishing de credenciais encontrarem uma maneira de entrar ou de se moverem lateralmente além dessas credenciais e elevarem seus privilégios.
A RSA apóia o Zero Trust fornecendo os componentes do gerenciamento de identidade e acesso (IAM) que são fundamentais para trabalhar com a estrutura Zero Trust do NIST. Esses componentes incluem:
- MFA
- Governança e administração de identidade (IGA)
- Análise baseada em riscos
- Acesso baseado em função
- Acesso baseado em atributos
IA
Embora a IA tenha sido um benefício para os criminosos cibernéticos que realizam ataques de phishing de credenciais, ela também é extremamente valiosa para aqueles que, do outro lado, estão lutando para impedir o phishing de credenciais. De acordo com o Relatório 2025 do RSA ID IQ, Em uma pesquisa realizada em março de 2010, 78% das organizações pesquisadas relataram ter planos imediatos para implementar automação, aprendizado de máquina ou alguma outra forma de IA em sua pilha de segurança cibernética.
A RSA desenvolveu recursos orientados por IA no gerenciamento de autenticação e acesso para ajudar as organizações a detectar, responder e impedir ataques de phishing de credenciais:
- IA de risco da RSA emprega análise comportamental e aprendizado de máquina para detectar tentativas de sequestro de contas baseadas em phishing, para que as equipes de TI possam lidar com elas antes que causem algum dano.
Governança e ciclo de vida da RSA usa IA para detectar anomalias nas solicitações de acesso, fornecendo aos administradores as informações necessárias para impedir a concessão de acesso potencialmente arriscado.
É provável que o phishing de credenciais no futuro envolva IA, tecnologia deepfake e engenharia social avançada, de acordo com um especialista em phishing de credenciais. relatório recente. Isso não é surpreendente, dado o sucesso que os criminosos cibernéticos obtiveram ao usar essas e outras táticas avançadas e emergentes orientadas por tecnologia.
Mas a boa notícia é que, cada vez mais, elas enfrentarão organizações igualmente dedicadas a aplicar IA e outras tecnologias em seus esforços para repelir ataques.
As possíveis vítimas atuais de phishing de credenciais estão reagindo adotando soluções de MFA e sem senha resistentes a phishing, trabalhando em direção à confiança zero, combatendo a IA com IA e tomando outras medidas para se defender. As Relatório 2025 do RSA ID IQ descobriu que 80% dos entrevistados acreditavam que a IA ajudaria as organizações com a segurança cibernética nos próximos cinco anos, enquanto apenas um quinto achava que a IA faria mais para capacitar os agentes de ameaças nesse período.
Enquanto sua organização continua a combater o phishing de credenciais, procure a RSA para ajudar, com recursos como autenticação sem senha (incluindo passkeys) e MFA resistente a phishing auxiliada por IA, todas implantadas em um ambiente de usuário que prioriza a segurança e inclui SSO, e todas integradas em um compromisso geral com os princípios de Zero Trust, que são essenciais para a defesa cibernética hoje e continuarão sendo essenciais no futuro.
