O que é roubo de conta (ATO)?
O roubo de conta, ou ATO, é uma forma de fraude em que um atacante obtém controle não autorizado da conta de um usuário legítimo — usando credenciais roubadas, phishing ou sequestro de sessão — e então a explora para furto, novas fraudes ou revenda.
O ATO é especialmente danoso porque o atacante opera como um usuário confiável e já verificado: a conta passa por toda verificação que presume que quem faz login é o seu dono. As perdas se acumulam de saldos drenados e compras fraudulentas a danos reputacionais e custos de suporte. Este guia explica como os ataques de ATO se desenrolam, de onde vêm as credenciais, os sinais de alerta e por que os sinais baseados em dispositivo estão entre as defesas mais eficazes.
O que é roubo de conta?
O roubo de conta é o acesso e o controle não autorizados de uma conta que pertence legitimamente a outra pessoa. O traço definidor é que o atacante usa a conta real em vez de criar uma falsa, e é isso que torna o ATO tão difícil de flagrar apenas com verificações de identidade.
Uma vez dentro, o atacante herda a posição da conta: seus métodos de pagamento, valor armazenado, histórico de compras, contatos e confiança. Ele pode drenar fundos, fazer compras fraudulentas, colher dados pessoais, lavar dinheiro ou reter a conta para revenda. Como a própria conta é legítima, as regras de fraude tradicionais que procuram identidades novas e suspeitas não veem nada de errado.
O ATO é distinto da fraude de conta nova, na qual o atacante fabrica uma identidade do zero. No ATO a identidade é genuína e as credenciais são válidas — a fraude está em quem as está empunhando. Isso desloca o problema de detecção de “essa identidade é real?” para “é este o verdadeiro dono?”, uma pergunta sobre o dispositivo e o comportamento, não sobre a conta.
Como funciona um ataque de roubo de conta?
Um ataque de ATO funciona em três fases: o atacante obtém credenciais, valida-as em escala contra um endpoint de login e então monetiza as contas que funcionam. A automação conduz a fase intermediária, que é onde os sinais de dispositivo e de bot têm a melhor chance de intervir.
Na fase de aquisição, as credenciais vêm de vazamentos de dados, campanhas de phishing, malware ou compras em mercados criminosos. Como as pessoas reutilizam senhas, um conjunto de credenciais vazado de um serviço muitas vezes destrava contas em muitos outros — a reutilização é toda a premissa do ATO em larga escala.
Na fase de validação, os atacantes usam automação para testar credenciais contra endpoints de login, uma atividade que se sobrepõe bastante ao credential stuffing. Os pares que funcionam são então entregues à fase de monetização, na qual o atacante altera dados de contato, adiciona métodos de pagamento e extrai valor — muitas vezes rápido, antes que o verdadeiro dono perceba.
De onde os atacantes tiram as credenciais?
Os atacantes obtêm credenciais de quatro fontes principais: vazamentos de dados, phishing, malware e mercados criminosos que agregam as três. O volume disponível faz com que quase toda base de usuários grande se sobreponha a algum conjunto de dados vazado.
Os vazamentos de dados são a maior oferta. Quando um serviço é comprometido, seus pares de usuário e senha circulam amplamente, e a reutilização de senhas transforma o vazamento de um site em uma ameaça para todos os sites que os mesmos usuários acessam. O phishing adiciona credenciais novas ao enganar os usuários para que as digitem em páginas de login falsas, e o malware as colhe diretamente de dispositivos infectados.
Esses fluxos convergem em mercados criminosos, onde as credenciais são empacotadas, validadas e vendidas — às vezes como listas cruas, às vezes como contas “válidas” pré-testadas e prontas para monetizar. A economia é o motivo de o ATO persistir: as credenciais são baratas, abundantes e continuamente repostas.
Quais são os sinais de alerta de roubo de conta?
Os sinais de alerta mais claros são um login de um dispositivo ou local não reconhecido, uma mudança repentina nos dados de contato ou de segurança da conta e uma atividade incomum que rompe o padrão estabelecido da conta. Os sinais de dispositivo trazem à tona o primeiro indício antes de qualquer outra coisa.
Um login de um dispositivo que a conta nunca usou antes é o indicador precoce mais revelador, porque o conjunto de dispositivos de um dono legítimo muda devagar, enquanto o dispositivo de um atacante é quase sempre novo para a conta. Anomalias de local e de rede — um país novo, um IP de datacenter, um proxy — reforçam o sinal.
O comportamento pós-acesso confirma: mudanças rápidas de e-mail, telefone ou senha (bloqueando o verdadeiro dono), novos métodos de pagamento e transações que não se encaixam no histórico da conta. O valor da detecção baseada em dispositivo é poder sinalizar o login arriscado antes que o dano seja feito, e não depois que as anomalias comportamentais aparecem.
- Login de um dispositivo nunca antes associado à conta.
- Origem de rede nova ou anômala — país desconhecido, IP de datacenter, VPN ou proxy.
- Mudanças rápidas de e-mail, telefone, senha ou opções de recuperação.
- Novos métodos de pagamento seguidos de atividade imediata de alto valor.
- Comportamento incoerente com o padrão estabelecido da conta.
Que dano o roubo de conta causa?
O roubo de conta causa perda financeira direta, fraude subsequente e dano reputacional e operacional duradouro. Os custos vão muito além do valor furtado em qualquer incidente isolado.
A perda imediata é o furto: saldos drenados, compras fraudulentas, recompensas resgatadas e métodos de pagamento armazenados abusados. Mas a conta comprometida também é um trampolim — seus dados alimentam novos phishings e fraudes, e seu status confiável pode ser usado para atacar outros usuários ou sistemas conectados a ela.
Os custos indiretos muitas vezes superam os diretos. As vítimas perdem confiança e às vezes vão embora; as equipes de suporte absorvem o ônus da remediação e do reembolso; e a plataforma herda dano reputacional e, em setores regulados, potencial exposição de conformidade. Um único incidente de ATO pode custar muito mais do que os fundos retirados da conta.
Como a inteligência de dispositivos detém o roubo de conta?
A inteligência de dispositivos detém o ATO ao reconhecer o dispositivo por trás de cada login e sinalizar o acesso de dispositivos desconhecidos ou de alto risco antes que o atacante possa agir — uma verificação que credenciais válidas não conseguem passar sozinhas. Como o atacante raramente tem o dispositivo real do dono, o dispositivo se torna o fator que ele não consegue fornecer.
Quando um login chega, o sistema compara o dispositivo que se conecta com o conjunto de dispositivos que a conta já usou. Um dispositivo conhecido e confiável passa em silêncio; um não reconhecido eleva o risco e pode disparar autenticação reforçada, verificação adicional ou um bloqueio. Isso transforma o próprio login em um posto de controle que senhas roubadas não vencem.
A inteligência de dispositivos também se combina com o quadro de rede e comportamento: um dispositivo novo se conectando por um IP de datacenter com uma impressão digital TLS de aparência de bot é um sinal muito mais forte em conjunto do que qualquer parte isolada. E como a identidade persiste entre sessões e limpezas de cookies, o mesmo dispositivo de fraude é reconhecível mesmo enquanto o atacante rotaciona credenciais e IPs — expondo a rede, não apenas a tentativa isolada.
Como as empresas podem prevenir o roubo de conta?
As empresas previnem o ATO empilhando defesas: autenticação baseada em risco conduzida por sinais de dispositivo, monitoramento dos sinais de alerta e atrito aplicado somente quando o risco está elevado. Nenhum controle isolado basta, mas a combinação eleva bruscamente o custo do atacante.
A base é a autenticação baseada em risco — avaliar sinais de dispositivo, rede e comportamento no login e exigir verificação extra apenas quando algo parece errado. Isso mantém o atrito longe da vasta maioria dos logins legítimos e concentra o escrutínio na minoria arriscada, que é o que torna uma segurança forte compatível com uma boa conversão.
Em torno desse núcleo ficam medidas de apoio: monitorar padrões de credential stuffing que precedem o ATO, alertar sobre mudanças sensíveis como atualizações de contato e pagamento, incentivar ou exigir senhas fortes e únicas e autenticação multifator, e vigiar a recorrência de dispositivos de fraude conhecidos entre contas. Juntas, elas fecham as fases do ataque que a verificação de dispositivo sozinha não cobre.
Não conhece um termo desta página? Todo conceito acima está definido no nosso glossário de inteligência de dispositivos.
Prefere uma definição concisa? Veja Roubo de conta (ATO) no glossário.
Perguntas frequentes
Detenha os roubos no login, não depois
A TRACIO sinaliza logins de dispositivos não reconhecidos em menos de 50ms, para que senhas roubadas não signifiquem contas roubadas. Comece grátis e adicione risco baseado em dispositivo ao seu fluxo de autenticação.