Hackers ataca Fundos Australianos

Em abril de 2025, a indústria de fundos de aposentadoria da Austrália foi abalada por uma série de ataques cibernéticos coordenados. Instituições que gerenciam o futuro financeiro de milhões de cidadãos se tornaram alvos de criminosos digitais, que conseguiram burlar medidas de segurança e acessar contas com saldos significativos.

Esses incidentes foram diferentes de invasões com malwares ou ransomwares sofisticados. Aqui, o método foi mais simples, mas extremamente eficaz: credential stuffing. O sucesso dos ataques revelou uma série de vulnerabilidades latentes — tanto tecnológicas quanto comportamentais.

Panorama das Instituições Afetadas

As entidades impactadas estão entre as maiores do país:

• AustralianSuper – Mais de 3 milhões de membros.

• Australian Retirement Trust (ART) – Cerca de AU$ 260 bilhões em ativos.

• Rest Super – Fundo ligado a trabalhadores do varejo.

• Hostplus – Um dos maiores fundos da indústria hoteleira.

• Insignia Financial – Operadora de múltiplos fundos.

Esses fundos são parte do ecossistema de superannuation, um sistema compulsório de aposentadoria mantido por contribuições obrigatórias dos empregadores.

O Método: Credential Stuffing

O que é?

Credential stuffing é uma técnica que se baseia na reutilização de credenciais (usuário e senha) obtidas em vazamentos anteriores, geralmente publicados na dark web ou em fóruns underground. Os atacantes utilizam essas credenciais em serviços diferentes daqueles de onde os dados foram originalmente vazados, na esperança de que os usuários tenham usado a mesma senha em vários sites.

“This is not hacking in the traditional sense—it’s abusing human behavior and poor security hygiene.”
— Corbado Security Blog, 2025

"Isso não é hacking no sentido tradicional — é explorar o comportamento humano e a má higiene de segurança."

Como funciona tecnicamente?

1. Aquisição de dados vazados:
   Os atacantes compram ou acessam gratuitamente dumps de dados vazados em incidentes anteriores (como de redes sociais, e-commerces, bancos, etc.).

2. Desenvolvimento de listas:
   Os dados são organizados em listas de combinações email:senha.

3. Automação do ataque:
   Usando ferramentas como Sentry MBA, Snipr, ou bots personalizados em Python/Node.js, os atacantes disparam tentativas automáticas de login em massa para validar quais combinações funcionam em novos serviços (no caso, plataformas de fundos de aposentadoria).

4. Validação silenciosa:
   Em sistemas sem proteção contra múltiplas tentativas ou autenticação multifator, os atacantes conseguem acesso sem acionar alertas.

5. Aproveitamento da conta:
   Após o acesso, o hacker altera dados de contato e bancários para facilitar o saque de valores e impedir que o usuário perceba ou reverta o golpe.

Como Foi Executado o Ataque nos Fundos Australianos

Fase 1: Reconhecimento

Antes do ataque, os invasores provavelmente mapearam quais fundos de aposentadoria tinham portais online para login de clientes e APIs abertas. Essa informação é pública e facilmente coletada.

Fase 2: Aquisição de dados

Através de fóruns como RaidForums ou BreachForums (e suas versões ocultas na dark web), os atacantes adquiriram bases de dados vazadas com milhões de credenciais. A maioria dos dumps utilizados provavelmente não era recente, mas ainda eficaz, dado o comportamento de muitos usuários de não atualizarem senhas por anos.

"Even leaks from as far back as 2016 can still produce valid credentials today."
— Australian Financial Review

"Mesmo vazamentos de 2016 ainda podem gerar credenciais válidas hoje."

Fase 3: Ataque em massa

• Os hackers iniciaram ataques massivos de credential stuffing durante a madrugada australiana — entre 1h e 4h da manhã.

• Essa janela foi escolhida estrategicamente para evitar detecção rápida, já que usuários e equipes de monitoramento estariam inativos.

• Estima-se que milhares de tentativas por minuto tenham sido feitas.

Fase 4: Invasão e manipulação

Após obter acesso a contas legítimas, os invasores:

• Alteraram o e-mail e telefone vinculados à conta;

• Modificaram as informações de conta bancária para receber transferências;

• Em alguns casos, solicitaram saques imediatos (early withdrawal) se o titular fosse elegível.

Na AustralianSuper, pelo menos 600 contas foram comprometidas e aproximadamente AU$ 500.000 foram retirados indevidamente (The Guardian, 2025).

​Atualmente, AU$ 500.000 equivalem aproximadamente a R$ 1.727.785,00

Por que Funcionou?

1. Falta de Autenticação Multifator (MFA)

Apesar de ser uma boa prática global, muitos fundos australianos ainda não exigiam MFA por padrão. Isso significa que bastava acertar a senha correta para entrar.

“Credential stuffing is only successful when MFA isn’t enforced.”
— Corbado Security Blog

"O preenchimento de credenciais só é bem-sucedido quando a autenticação multifator (MFA) não é implementada."

2. Ausência de Limites de Tentativas

Sem um sistema de rate limiting — que bloqueia ou retarda múltiplas tentativas de login de um mesmo IP — os bots puderam testar milhares de credenciais por minuto.

3. Reutilização de Senhas por Usuários

A cultura digital ainda falha em convencer usuários a criar senhas únicas. Segundo a Digital Identity Australia, mais de 70% dos usuários reutilizam senhas em serviços diferentes.

4. Notificações Ineficientes

Mesmo quando alterações nas contas foram feitas (como mudar e-mail ou conta bancária), muitos sistemas não exigiam nova autenticação ou confirmação via canais secundários, como SMS.

Ferramentas Prováveis Usadas

Algumas ferramentas frequentemente usadas para esse tipo de ataque incluem:

• Sentry MBA – Plataforma para ataques de credential stuffing com suporte a configs personalizadas.

• Snipr – Ferramenta baseada em Python para brute force e credential stuffing.

• OpenBullet – Muito usada em ambientes mais sofisticados por permitir integração com proxies e scripts customizados.

Essas ferramentas suportam:

• Importação de listas de credenciais;

• Testes em massa com proxies rotativos (para evitar bloqueio de IP);

• Captura de tokens e cookies de sessão;

• Extração automatizada de informações pessoais.

O Contexto Global

Ataques como este não são exclusivos da Austrália. O credential stuffing é uma ameaça global e recorrente. Casos semelhantes já ocorreram com:

• Robinhood (EUA, 2021)

• NHS COVID App (Reino Unido, 2022)

• T-Mobile (EUA, 2023)

No entanto, o que torna o caso australiano marcante é o impacto em um sistema previdenciário de escala nacional, e o fato de que a maioria das falhas exploradas eram evitáveis.

Investigação e Resposta Inicial

Logo após os primeiros sinais de acesso indevido às contas dos membros, os fundos australianos afetados iniciaram uma resposta emergencial coordenada, que envolveu múltiplas entidades:

• Australian Cyber Security Centre (ACSC)

• Office of the Australian Information Commissioner (OAIC)

• Australian Federal Police (AFP)

• Coordenação Nacional de Segurança Cibernética, liderada pela Tenente-General Michelle McGuinness

Ações imediatas tomadas pelos fundos:

• Bloqueio de contas comprometidas e redefinição forçada de senhas;

• Desativação temporária de serviços online;

• Investigações forenses digitais com empresas privadas de segurança cibernética;

• Envio de notificações aos clientes afetados com instruções de segurança;

• Monitoramento de movimentações financeiras suspeitas, inclusive tentativa de reversão de transferências.

“While no core systems were breached, the targeted attacks exposed gaps in user-level security controls.”
— AustralianSuper Incident Report, abril de 2025

"Embora os sistemas principais não tenham sido violados, os ataques direcionados revelaram lacunas nos controles de segurança em nível de usuário."

Impacto Real: Financeiro, Legal e Reputacional

2.1. Prejuízos Financeiros

• AustralianSuper: cerca de AU$ 500.000 roubados de quatro contas com saldos elevados (The Guardian)

• Rest Super: cerca de 8.000 contas potencialmente acessadas, embora sem saque confirmado.

• Hostplus e ART: ainda avaliam o número de contas comprometidas, mas já implementaram medidas preventivas.

Além das perdas diretas, os fundos enfrentaram custos relacionados a:

• Investigação técnica;

• Contratação de empresas especializadas (como Mandiant e CrowdStrike);

• Compensações financeiras a clientes afetados;

• Reputação de mercado.

Repercussão Legal

• O OAIC iniciou investigação de conformidade com a Privacy Act 1988, especialmente no que diz respeito à proteção de dados pessoais e obrigações de notificação de violação de privacidade.

• A possibilidade de ações coletivas (class actions) foi considerada por grupos de defesa do consumidor, especialmente em casos de negligência em não implementar autenticação multifator.

Danos à Confiança

A confiança dos australianos em relação ao sistema previdenciário digital foi abalada. Muitos se questionaram se suas economias de vida estavam realmente seguras, o que causou:

• Aumento no número de solicitações de transferências para fundos diferentes (rollovers);

• Queda temporária no uso dos aplicativos móveis;

• Pressão pública e midiática por transparência e segurança imediatas.

Conclusão

Os ataques de abril de 2025 aos fundos de aposentadoria australianos não foram um golpe com malwares complexos ou falhas zero-day — foram ataques silenciosos, baseados em falhas humanas e ausência de camadas básicas de defesa.

Isso mostra que hacking nem sempre precisa ser sofisticado. Às vezes, basta paciência, automação e conhecimento do comportamento do usuário.

Para os profissionais de cibersegurança, fica a lição: segurança não é apenas sobre tecnologia, mas sobre comportamento, antecipação e resposta.

1. The Guardian – Australian Super funds breached

2. AFR – How the hackers struck

3. ABC News – Credential stuffing in Super accounts

4. Eftsure – Cyberattack hits super funds

5. Corbado Blog – Protecting retirement accounts