ATAQUES

Contas do PayPal violadas em ataque de preenchimento de credenciais em grande escala

Recentemente, relatos de que contas do PayPal foram comprometidas em um ataque massivo de preenchimento de credenciais (credential stuffing) acenderam o alerta entre usuários e especialistas em segurança. Essa modalidade de ataque automatizado explora a reutilização de senhas para obter acesso não autorizado a contas em larga escala. Neste artigo, explicamos detalhadamente o funcionamento do credential stuffing, por que o PayPal é um alvo tão visado, como identificar possíveis comprometimentos e, principalmente, como se proteger.

O que é preenchimento de credenciais (credential stuffing)?

Credential stuffing é uma técnica de ataque cibernético em que criminosos utilizam listas de nomes de usuário (e-mails) e senhas obtidas a partir de vazamentos de dados de outros serviços para tentar acessar contas em plataformas diferentes. Ao contrário do ataque de força bruta, que tenta adivinhar senhas, o credential stuffing parte do princípio de que muitas pessoas utilizam a mesma combinação de e-mail e senha em múltiplos sites.

Ferramentas automatizadas — como OpenBullet, Sentry MBA e outras — são empregadas para testar milhões de credenciais contra o site alvo em poucas horas. Os atacantes distribuem as requisições por centenas de proxies e endereços IP para evitar mecanismos de bloqueio por taxa. Quando uma combinação funciona, a conta é imediatamente acessada e, muitas vezes, saqueada ou usada para novas fraudes.

Por que o PayPal é um alvo atraente?

O PayPal é uma das maiores plataformas de pagamento digital do mundo, com centenas de milhões de contas ativas. Uma conta comprometida pode dar acesso a saldos disponíveis, cartões de crédito vinculados, histórico de transações e a possibilidade de enviar dinheiro para contas controladas pelos criminosos. Além disso, a confiança dos usuários no serviço faz com que muitos não ativem camadas extras de segurança, como a autenticação em duas etapas, tornando-se alvos fáceis.

Estima-se que uma parcela significativa das tentativas de login no PayPal seja oriunda de ataques de credential stuffing. Embora a empresa mantenha sistemas de detecção de fraude, a primeira linha de defesa está nas mãos do próprio usuário.

Como os criminosos obtêm as credenciais?

As combinações de e-mail e senha usadas nesses ataques vêm, em sua maioria, de vazamentos de dados de outros sites — redes sociais, serviços de e-mail, lojas virtuais, fóruns e até mesmo de outras instituições financeiras. Esses dados são frequentemente vendidos em fóruns clandestinos e na dark web. Além disso, campanhas de phishing e malwares espiões (stealers) também contribuem para alimentar as listas de credenciais.

Uma vez que o criminoso possui a lista, ele a testa em massa contra o PayPal. Como muitas pessoas utilizam a mesma senha em vários serviços, o índice de acerto pode ser alto o suficiente para tornar o ataque lucrativo.

Sinais de que sua conta do PayPal pode estar comprometida

Como proteger sua conta do PayPal

O que fazer se sua conta for violada

  1. Altere sua senha imediatamente por meio do site oficial do PayPal.
  2. Ative ou verifique a autenticação de dois fatores.
  3. Entre em contato com o suporte do PayPal pelo canal oficial para relatar o incidente.
  4. Revise todas as transações recentes e conteste as que não reconhecer.
  5. Verifique se suas informações de contato (e-mail, telefone) foram alteradas e corrija se necessário.
  6. Acompanhe a conta nos dias seguintes para garantir que não houve novos acessos indevidos.

Perguntas Frequentes (FAQ)

O que é credential stuffing?

É um tipo de ataque automatizado que testa combinações de e-mail e senha vazadas de outros serviços contra uma plataforma alvo, aproveitando a reutilização de senhas pelos usuários.

Como saber se minha conta do PayPal foi afetada?

Monitore sua conta em busca de transações suspeitas, notificações de login incomuns ou alterações não autorizadas. Ative as notificações de segurança do PayPal para ser alertado sobre atividades estranhas.

O PayPal reembolsa valores perdidos em ataques de credential stuffing?

O PayPal possui um programa de proteção ao comprador que pode cobrir perdas em certos casos, mas é essencial reportar o incidente o mais rápido possível. A rapidez na comunicação aumenta as chances de reembolso.

É seguro usar o PayPal depois desse ataque?

Sim. O PayPal continua sendo uma plataforma segura quando o usuário adota boas práticas de segurança. A maioria dos comprometimentos ocorre por falha do usuário em manter senhas únicas e ativar a autenticação em dois fatores.

Qual a diferença entre credential stuffing e ataque de força bruta?

No ataque de força bruta, o criminoso tenta adivinhar a senha testando combinações aleatórias. No credential stuffing, ele já possui pares de e-mail e senha prováveis, tornando o ataque muito mais eficiente e com maior taxa de sucesso.

Manter-se informado sobre as ameaças e adotar uma postura proativa de segurança digital é a melhor defesa contra ataques de preenchimento de credenciais. Proteja sua conta do PayPal hoje mesmo.