Um número significativo dos incidentes modernos tem início com o comprometimento de contas. Como os agentes de acesso inicial se tornaram uma indústria criminosa plenamente estabelecida, ficou muito mais fácil para invasores organizarem ataques à infraestrutura das empresas simplesmente comprando conjuntos de logins e senhas de funcionários. A ampla adoção de diferentes métodos de acesso remoto tornou essa tarefa ainda mais simples. Ao mesmo tempo, as fases iniciais desses ataques se assemelham com frequência a ações perfeitamente legítimas de colaboradores e permanecem indetectáveis pelos mecanismos tradicionais de segurança por longos períodos.

Confiar apenas nas medidas de proteção da conta e nas políticas de senha não é uma opção. Sempre existe a possibilidade de que invasores obtenham credenciais de funcionários por meio de ataques de phishing, malware do tipo infostealer ou, simplesmente, pela falta de cuidado de usuários que reutilizam a mesma senha em contas profissionais e pessoais e não dão muita atenção a vazamentos ocorridos em serviços de terceiros.

Assim, a detecção de ataques à infraestrutura de uma empresa exige ferramentas que identifiquem não apenas assinaturas isoladas de ameaças, mas também mecanismos de análise comportamental que reconheçam desvios do comportamento normal de usuários e processos do sistema.

Uso de IA no SIEM para detectar comprometimento de contas

Como mencionamos na postagem anterior, para detectar ataques envolvendo comprometimento de contas, o SIEM da Kaspersky Unified Monitoring and Analysis Platform foi equipado com regras UEBA para identificar anomalias em autenticação, atividades de rede e execução de processos em estações de trabalho e servidores Windows. Na atualização mais recente, seguimos desenvolvendo o sistema nessa mesma direção, incorporando abordagens baseadas em IA.

O sistema cria um modelo do comportamento normal dos usuários durante a autenticação e passa a monitorar desvios em relação aos cenários habituais, como horários de login atípicos, cadeias de eventos incomuns e tentativas de acesso anômalas. Essa abordagem permite que SIEM identifique tanto tentativas de autenticação com credenciais roubadas quanto o uso de contas já comprometidas, inclusive em cenários complexos que antes poderiam passar despercebidos.

Em vez de buscar indicadores isolados, o sistema analisa desvios em relação a padrões normais. Isso possibilita a detecção mais precoce de ataques complexos, reduz o número de falsos positivos e diminui significativamente a carga operacional das equipes de SOC.

Anteriormente, ao utilizar regras UEBA para detectar anomalias, era necessário criar diversas regras responsáveis por executar etapas preliminares e gerar listas adicionais nas quais os dados intermediários eram armazenados. Agora, na nova versão do SIEM, com um correlacionador atualizado, é possível detectar o sequestro de contas por meio de uma única regra especializada.

Outras atualizações na Kaspersky Unified Monitoring and Analysis Platform

Quanto mais complexa é a infraestrutura e maior o volume de eventos, mais críticos se tornam os requisitos de desempenho da plataforma, a flexibilidade no gerenciamento de acessos e a facilidade de operação no dia a dia. Um sistema SIEM moderno deve não apenas detectar ameaças com precisão, mas também permanecer resiliente, sem precisar de atualizações constantes de hardware ou de reestruturação de processos. Por isso, na versão 4.2, demos mais um passo para tornar a plataforma mais prática e adaptável. As atualizações impactam a arquitetura, os mecanismos de detecção e a experiência do usuário.

Inclusão de funções flexíveis e controle de acesso granular

Uma das principais inovações da nova versão do SIEM é o modelo flexível de funções. Agora, os clientes podem criar funções personalizadas para diferentes usuários do sistema, duplicar funções existentes e configurar conjuntos específicos de permissões de acordo com as atividades de cada especialista. Isso permite uma diferenciação mais precisa de responsabilidades entre analistas de SOC, administradores e gestores, reduz o risco de concessão excessiva de privilégios e reflete de forma mais fiel os processos internos da empresa nas configurações do SIEM.

Novo correlacionador e, como resultado, maior estabilidade da plataforma

Na versão 4.2, introduzimos uma versão beta de um novo mecanismo de correlação (2.0). Ela processa eventos com maior velocidade e exige menos recursos de hardware. Para os clientes, isso se traduz em:

• operação estável mesmo sob cargas elevadas;
• capacidade de processar grandes volumes de dados sem a necessidade de expansão imediata da infraestrutura;
• desempenho mais previsível.

Cobertura de TTPs de acordo com a matriz MITRE ATT&CK

Também seguimos ampliando sistematicamente a cobertura da matriz de técnicas, táticas e procedimentos MITRE ATT&CK: atualmente, o Kaspersky SIEM cobre mais de 60% de toda a matriz. As regras de detecção são atualizadas regularmente e acompanhadas de recomendações de resposta. Isso ajuda os clientes a entenderem quais cenários de ataque já estão sob controle e a planejarem a evolução das suas defesas com base em um modelo amplamente aceito pelo setor.

Outras melhorias

A versão 4.2 também introduz a possibilidade de realizar backup e restauração de eventos, além da exportação de dados para arquivos seguros com controle de integridade, algo especialmente importante para investigações, auditorias e conformidade regulatória. Consultas em segundo plano foram implementadas para facilitar o trabalho dos analistas. Agora, pesquisas complexas e que consomem muitos recursos podem ser executadas em segundo plano sem impactar tarefas prioritárias. Isso acelera a análise de grandes volumes de dados.

Continuamos atualizando regularmente o Kaspersky SIEM, expandindo suas capacidades de detecção, aprimorando a arquitetura e incorporando funcionalidades de IA para que a plataforma atenda cada vez melhor às condições reais enfrentadas pelas equipes de segurança da informação. O objetivo é não apenas responder a incidentes, mas também ajudar a construir um modelo de proteção sustentável para o futuro. Acompanhe as atualizações sobre o sistema SIEM, a Kaspersky Unified Monitoring and Analysis Platform, na página oficial do produto.

Imagine que um usuário acessa um site fraudulento, decide fazer uma compra e insere as informações do cartão bancário, nome e endereço. Adivinha o que acontece a seguir? Se você acha que os invasores simplesmente pegam o dinheiro e desaparecem, pense novamente. Infelizmente, é muito mais complicado. Na realidade, as informações entram em um enorme pipeline do mercado paralelo, onde os dados das vítimas circulam por anos, mudando de mãos e sendo reutilizados em novos ataques.

Na Kaspersky, estudamos a jornada dos dados após um ataque de phishing: quem os obtém, como são classificados, revendidos e usados no mercado paralelo. Neste artigo, mapeamos a rota dos dados roubados e explicamos como se proteger caso já tenha encontrado phishing ou como evitá-lo no futuro. Você pode ler o relatório detalhado e completo com informações técnicas na Securelist.

Coleta de dados

Os sites de phishing são cuidadosamente disfarçados para parecerem legítimos; às vezes, o design visual, a interface do usuário e até mesmo o nome de domínio são quase indistinguíveis dos verdadeiros. Para roubar dados, os invasores normalmente utilizam formulários HTML que solicitam que os usuários insiram suas credenciais de login, dados do cartão de pagamento ou outras informações confidenciais.

Assim que o usuário clicar em Fazer login ou Pagar, as informações são enviadas instantaneamente para os cibercriminosos. Algumas campanhas mal-intencionadas não coletam dados diretamente por meio de um site de phishing, mas se aproveitam de serviços legítimos, como o Google Formulários, para ocultar o servidor de destino final.

Um site falso da DHL. O usuário é solicitado a inserir o login e a senha da sua conta DHL real

Os dados roubados são normalmente transmitidos em uma das três formas seguintes ou usando uma combinação delas:

• E-mail. Esse método é menos comum hoje devido a possíveis atrasos ou bloqueios.
• Bots do Telegram. Os invasores recebem as informações instantaneamente. A maioria desses bots é descartável, o que os torna difíceis de rastrear.
• Painéis de administração. Os cibercriminosos podem usar um software especializado para coletar e classificar dados, visualizar estatísticas, bem como verificar automaticamente as informações roubadas.

Que tipo de dados os phishers procuram?

A variedade de dados buscados por cibercriminosos é bastante ampla.

• Dados pessoais: números de telefone, nomes completos, e-mail, registro e endereços residenciais. Essas informações podem ser usadas para criar ataques direcionados. As pessoas muitas vezes caem em golpes justamente porque os invasores têm uma grande quantidade de informações pessoais, sabem o nome da vítima, onde ela mora e quais serviços utiliza.
• Documentos: dados e digitalizações como documentos de identidade, carteiras de motorista, seguros e IDs fiscais, entre outros. Os criminosos usam essas informações para roubar a identidade, solicitar empréstimos e verificar a identidade ao fazer login em bancos ou portais eletrônicos do governo.
• Credenciais: logins, senhas e códigos 2FA únicos.
• Biometria: verificações faciais, impressões digitais e amostras de voz usadas para gerar deepfakes ou contornar a autenticação de dois fatores.
• Informações de pagamento: dados de cartões bancários e de carteiras de criptomoedas.
• E muito mais.

De acordo com nossa pesquisa, a grande maioria (88,5%) dos ataques de phishing realizados entre janeiro e setembro de 2025 teve como alvo credenciais de contas on-line, e 9,5% foram tentativas de obter dados pessoais dos usuários, como nomes, endereços e datas. Por fim, 2% dos ataques de phishing tiveram como foco o roubo de dados de cartões bancários.

Distribuição de ataques por tipo de dado visado, de janeiro a setembro de 2025

O que acontece depois com os dados roubados?

Nem todos os dados roubados são usados diretamente pelos invasores para transferir dinheiro para suas próprias contas. Na prática, os dados quase nunca são usados imediatamente. Em geral, acabam no mercado paralelo, onde chegam a analistas e corretores de dados. Uma jornada típica costuma seguir mais ou menos este caminho.

1.       Venda de dados em massa

Os conjuntos de dados brutos são agrupados em arquivos enormes e oferecidos em massa em fóruns da dark Web. Esses dumps geralmente contêm informações irrelevantes ou desatualizadas, por isso são relativamente baratos, custando a partir de US$ 50.

2.       Classificação e verificação de dados

Esses arquivos são comprados por hackers que atuam como analistas. Eles categorizam os conjuntos de dados e verificam sua validade, checando se as credenciais de login funcionam para os serviços especificados, se são reutilizadas em outros sites e se coincidem com dados de vazamentos anteriores. Para ataques direcionados, os cibercriminosos compilam um dossiê digital. Ele armazena informações coletadas de ataques recentes e mais antigos, essencialmente uma planilha de dados pronta para ser usada em invasões.

3.       Revenda de dados verificados

Os conjuntos de dados classificados são oferecidos para venda novamente, agora a um preço mais alto, e não apenas na dark Web, mas também no Telegram, uma plataforma mais conhecida.

Um anúncio no Telegram para a venda de credenciais de contas de redes sociais.

Segundo o Kaspersky Digital Footprint Intelligence, os preços das contas variam conforme o tempo de uso, o uso de autenticação de dois fatores (2FA), os cartões bancários vinculados e a base de usuários do serviço. Não é surpresa que o produto mais caro e procurado neste mercado seja o acesso a contas bancárias e carteiras de criptomoedas.

4.       Ataques repetidos

Depois que um cibercriminoso compra o dossiê digital de uma vítima, ele pode planejar seu próximo ataque. Ele pode usar a inteligência de código aberto para descobrir onde a pessoa trabalha e, em seguida, criar um e-mail convincente se passando pelo chefe dela. Como alternativa, ele pode invadir um perfil de rede social, extrair fotos comprometedoras e exigir um resgate pela devolução. No entanto, tenha certeza de que quase todos os e-mails de ameaça ou extorsão são apenas uma tática de intimidação dos golpistas.

Os cibercriminosos também usam contas comprometidas para enviar mais e-mails de phishing e links mal-intencionados aos contatos da vítima. Portanto, se você receber uma mensagem pedindo para votar na sobrinha em um concurso, emprestar dinheiro ou clicar em um link suspeito, terá todos os motivos para ficar em alerta.

O que fazer se seus dados forem roubados

1. Primeiro, tente se lembrar das informações que você inseriu no site de phishing. Se você forneceu dados do cartão de pagamento, entre em contato com seu banco imediatamente e solicite o bloqueio dos cartões. Se você inseriu um nome de usuário e senha que utiliza em outras contas, altere essas senhas imediatamente. Um gerenciador de senhas pode ajudar a criar e armazenar senhas fortes e exclusivas.
2. Ative a autenticação de dois fatores (2FA) sempre que possível. Para obter mais informações sobre o que é 2FA e como usá-la, leia nosso guia. Ao escolher um método 2FA, é melhor evitar o SMS, pois códigos de uso único enviados por mensagem de texto podem ser interceptados. O ideal é usar um aplicativo autenticador, como o Kaspersky Password Manager, para gerar códigos únicos.
3. Verifique as sessões ativas (a lista de dispositivos conectados) nas suas contas importantes. Caso veja um dispositivo ou endereço IP que não reconheça, encerre a sessão imediatamente. Em seguida, altere sua senha e configure a autenticação de dois fatores.

Como se proteger contra phishing

• Não clique em links de e-mails ou mensagens sem antes verificá-los com uma solução de segurança.
• Se você receber um e-mail suspeito, sempre verifique o endereço do remetente para ver se já teve algum contato com essa pessoa antes. Se alguém alegar representar uma autoridade governamental ou empresa, certifique-se de comparar o domínio do qual o e-mail foi enviado com o domínio do site oficial da organização. Nenhuma correspondência oficial deve vir de um serviço de e-mail gratuito.
• Use um aplicativo autenticador para fazer a autenticação de dois fatores.
• Crie senhas resistentes a hackers. Nossa pesquisa revela que os hackers conseguem descobrir quase 60% de todas as senhas no mundo em menos de uma hora. Como alternativa, considere mudar para chaves de acesso, pois oferecem uma proteção de conta muito mais robusta. No entanto, lembre-se de que elas também têm suas desvantagens.
• Lembre-se: usar a mesma senha em vários serviços é um erro crítico. Isso é exatamente o que é explorado pelos agentes mal-intencionados. Mesmo que você nunca tenha caído em um golpe de phishing, suas senhas e dados ainda podem ser expostas em vazamentos de dados, já que os cibercriminosos visam não apenas indivíduos, mas empresas inteiras. Este ano, o Identity Theft Resource Center já registrou mais de dois mil vazamentos de dados. Para minimizar os riscos, crie uma senha única e forte para cada conta. Você não precisa nem consegue memorizar todas elas. É melhor usar um gerenciador de senhas que gera e armazena senhas complexas com segurança, sincroniza-as em todos os seus dispositivos, preenche-as automaticamente em sites e aplicativos e alerta você se alguma das suas credenciais aparecer em um vazamento de dados conhecido.

Saiba mais sobre phishing e golpes:

• Como phishers e golpistas usam IA
• O que fazer ao receber um e-mail de phishing
• Extorsão por e-mail: como os golpistas recorrem à chantagem
• Golpes no Telegram com bots, brindes e criptomoedas
• Entre outros