O que é um vetor de ataque?

Um vetor de ataque é um caminho ou método pelo qual hackers obtêm acesso não autorizado a sistemas de destino para cometer um ataque cibernético. Vetores de ataque comuns incluem ataques de engenharia social, ameaças internas e comprometimentos da cadeia de suprimentos.

Juntos, os vetores de ataque de uma organização (também conhecidos como vetores de ameaças) e as vulnerabilidades de cibersegurança compõem sua superfície de ataque. As superfícies de ataque se expandiram à medida que as empresas se envolvem na transformação digital, como a adoção da inteligência artificial (IA), a migração para a nuvem e para data centers, o uso de dispositivos de Internet das coisas e a viabilização do trabalho remoto. Com tantos ativos agora fazendo parte de um cenário tecnológico cada vez mais complexo e descentralizado, os cibercriminosos têm mais pontos de entrada para infiltrar redes e sistemas operacionais.

Enquanto isso, o escopo e a sofisticação dos vetores de ataque também evoluíram. Os agentes de ameaças aproveitam tecnologias mais recentes, como a IA, para manipular os usuários e escapar das medidas de segurança convencionais.

Felizmente, as equipes de segurança empresarial podem aproveitar as disciplinas de cibersegurança, como o gerenciamento da superfície de ataque (ASM), para impedir esses invasores. O ASM ajuda as organizações a identificar possíveis métodos de ataque e a se defender contra vetores de ataque — etapas fundamentais para mitigar o risco de cibersegurança.

Em epidemiologia, vetores são agentes que transmitem doenças infecciosas. Eles podem variar desde seres vivos (mosquitos, morcegos) até objetos inanimados (seringas, papel-moeda).¹ A compreensão desses vetores orienta os esforços de prevenção e transmissão de doenças no âmbito da saúde pública.

Da mesma forma, entender a versatilidade dos vetores de ataques cibernéticos ajuda as organizações (e os profissionais de cibersegurança que trabalham com elas) a elaborar e implementar estratégias e ferramentas para detecção e remediação de ameaças cibernéticas.

Sem essa detecção e remediação, podem ocorrer consequências graves. Os vetores de ataque frequentemente possibilitam violações de dados, nas quais os agentes de ameaças obtêm acesso a informações sensíveis ou confidenciais.

De acordo com o relatório do custo das violações de dados de 2025 da IBM, o custo médio de uma violação de dados é de US$ 4,44 milhões. Os custos decorrem de investigações de violações e auditorias; geração de relatórios de violações a clientes, órgãos reguladores e stakeholders; acordos e honorários advocatícios; e clientes perdidos. Os incidentes tendem a ser especialmente caros em campos altamente regulamentados, onde violações de dados podem resultar em multas regulatórias. Por exemplo, de acordo com o relatório da IBM, o custo médio de uma violação de dados no setor de saúde em 2025 é de US$ 7,42 milhões.

Os vetores de ataque também podem ser implementados por hackers para desativar ou destruir ativos, causando interrupções comerciais e econômicas significativas. Em setembro de 2025, por exemplo, um ataque cibernético aos sistemas de check-in de aeroportos causou cancelamentos e atrasos de voos em aeroportos de importantes cidades europeias. No início do mesmo mês, um ataque cibernético forçou o fechamento durante semanas em uma grande montadora britânica.

Assim como acontece com os patógenos em mutação, o cenário de ameaças cibernéticas está evoluindo. Por exemplo, há duas décadas, o vetor de ataque responsável por cerca de metade das violações de dados era um dispositivo perdido ou roubado, como um notebook ou um pen drive. Atualmente, o roubo de dispositivos representa menos de 10% de todas as violações de dados, com uma série de outros vetores (desde phishing até cadeias de suprimentos comprometidas) implicados no restante, de acordo com o relatório do custo das violações de dados de 2025 da IBM.

Os cibercriminosos estão usando novas tecnologias para agilizar sua abordagem aos vetores. Por exemplo, estão implementando cada vez mais a IA para criar e-mails e páginas da web de phishing convincentes, entre outras atividades enganosas. De acordo com o relatório do custo das violações de dados de 2025 da IBM, em média 16% das violações de dados envolveram invasores usando IA, mais frequentemente para phishing gerado por IA (37%) e ataques de falsificação de identidade deepfake (35%).

Os hackers também estão navegando na dark web para comprar software de crime como serviço (CaaS) para impulsionar atividades de cibercrime que vão desde o uso de spyware até a quebra de senhas. Equipados com ferramentas avançadas, "adversários cibernéticos mutáveis obtêm mais acesso, migrar pelas redes com mais facilidade, e criam novos pontos avançados em relativa obscuridade", de acordo com o IBM X-Force Threat Intelligence Index de 2025.

O acompanhamento dos vetores de ataque em evolução dos agentes da ameaça pode ajudar as empresas a neutralizá-los. "Quanto mais você souber sobre o que os hackers estão fazendo, melhor trabalho poderá fazer na construção de defesas", explicou Jeff Crume, Distinguished Engineer da IBM Security, em um vídeo recente da IBM Technology. “Informação é poder.”

Embora diversas organizações classifiquem os vetores de ataque de maneiras diferentes, as categorias comuns incluem:

• Engenharia social
• Comprometimento de fornecedores terceirizados e cadeia de suprimentos
• Denial-of-service
• Credenciais comprometidas
• Ameaças internas
• Exploração de vulnerabilidade
• Malware
• Ataques físicos

Os ataques de engenharia social manipulam as pessoas, fazendo-as acreditar que estão se comunicando com uma entidade confiável e convencendo-as a comprometer a segurança de seus dados pessoais (senhas bancárias, números de cartão de crédito) ou ativos organizacionais (informações proprietárias, segredos comerciais).  

Um dos ataques de engenharia social mais comuns é o phishing, que envolve o uso de e-mails, mensagens de texto, chamadas telefônicas ou sites fraudulentos. No relatório do custo das violações de dados de 2025 da IBM, o phishing foi classificado como o vetor mais comum para violações de dados, representando 16% das violações, a um custo médio de US$ 4,8 milhões por ataque. Os ataques de phishing geralmente envolvem spoofing, no qual um invasor disfarça seus endereços de e-mail ou outros métodos de comunicação para se passar por uma fonte confiável.

Os hackers tentarão se infiltrar em fornecedores terceirizados para obter acesso aos seus parceiros, tornando as cadeias de suprimentos um alvo popular para ataques cibernéticos. Os ecossistemas modernos de cadeia de suprimentos estão cada vez mais vulneráveis por meio de seus sistemas digitais e tecnologias de comunicação, que criam uma vasta superfície de ataque.

Os ataques cibernéticos da cadeia de suprimentos podem parar a produção, interromper o transporte e a logística, danificar infraestrutura crítica, roubar propriedade intelectual e muito mais. De acordo com o relatório do custo das violações de dados de 2025 da IBM, a violação da cadeia de suprimentos é o segundo vetor mais predominante para violações de dados, bem como o segundo mais caro em média, custando US$ 4,91 milhões por ataque.

Os ataques contra cadeias de suprimentos de software, em particular, têm gerado uma preocupação crescente à medida que mais empresas dependem de software de código aberto para seus sistemas de computação. De acordo com um estudo, as ameaças às cadeias de suprimentos de software provenientes de repositórios de pacotes de código aberto aumentaram 1.300% ao longo de três anos.²

Ataques de denial-of-service (DoS) são ataques cibernéticos que retardam ou interrompem aplicações ou serviços. Na maioria das vezes, os incidentes de DoS se manifestam como invasores inundando um servidor de rede com tráfego, sobrecarregando o servidor e impedindo-o de processar solicitações legítimas. De acordo com o relatório do custo das violações de dados de 2025 da IBM, os ataques de denial-of-service foram responsáveis por mais de 12% das violações de dados.

Um tipo poderoso de ataque de DoS é um ataque de distributed denial-of-service (DDoS.) Em um ataque de DDoS, o tráfego de ataque vem de várias fontes de uma só vez, podendo torná-los mais difíceis de reconhecer e defender. Os ataques de DDoS são frequentemente realizados por meio de botnets, que são grupos de dispositivos conectados que os hackers sequestraram para suas atividades criminosas.

Ataques de credenciais comprometidas ocorrem quando hackers obtêm acesso não autorizado a um sistema por meio das credenciais de login de usuários legítimos, como nomes de usuário e senhas. De acordo com o IBM X-Force Threat Intelligence Index, 30% dos ataques cibernéticos envolvem roubo e abuso de contas válidas.

Os hackers têm opções diferentes para montar ataques de credenciais comprometidas. Por exemplo, eles podem usar credenciais de usuários roubadas reveladas durante violações de dados anteriores ou implementar phishing para convencer as vítimas a compartilhar credenciais. Eles também podem usar ataques de força bruta, que aproveitam o poder computacional e a automação para deduzir senhas por tentativa e erro, sendo que as senhas fracas geralmente são mais fáceis de identificar.

Ameaças internas são ameaças de cibersegurança que têm origem em usuários autorizados, como funcionários, prestadores de serviços e parceiros de negócios, que, de modo intencional ou acidental, fazem mau uso de seu acesso legítimo ou têm suas contas sequestradas por cibercriminosos.

Existem vários tipos de ameaças internas, incluindo agentes internos maliciosos (funcionários insatisfeitos com intenção de vingança), agentes internos negligentes (funcionários que inadvertidamente criam ameaças à segurança por ignorância ou descuido) e agentes internos comprometidos (funcionários cujas credenciais são roubadas).

De acordo com o relatório do custo das violações de dados de 2025 da IBM, os ataques de agentes internos maliciosos se destacam como a causa mais cara de violações de dados entre todos os vetores de ataque, custando US$ 4,92 milhões por incidente.

A exploração de vulnerabilidades ocorre quando agentes de ameaças internos ou externos exploram falhas de segurança no ambiente de uma organização digital. De acordo com o X-Force Threat Intelligence Index, a exploração de vulnerabilidades em aplicativos voltados para o público é um dos principais vetores de ataques cibernéticos.

Exemplos de vulnerabilidades incluem:

• Software não corrigido: fraquezas de segurança que ocorrem quando o patching (a aplicação de atualizações de software) não ocorreu.
  
  
• Configuração incorreta: portas de rede, canais, pontos de acesso sem fio, firewalls ou protocolos configurados inadequadamente servem como pontos de entrada para hackers.
  
  
• Vulnerabilidades de porta aberta: os invasores fazem uma exploração das fraquezas nos endpoints de comunicação de rede.
  
  
• Vulnerabilidades de injeção de SQL: os invasores usam consultas especialmente criadas para acessar dados.
  
  
• Cross-site scripting (XSS): uma aplicação da web lida de forma inadequada com a entrada do usuário, permitindo que invasores injetem scripts maliciosos em páginas da web.

Apesar da existência de catálogos de vulnerabilidades de segurança, como a lista de Vulnerabilidades e exposições comuns (CVE), muitas vulnerabilidades permanecem desconhecidas e não são resolvidas. Essas fraquezas de segurança são chamadas de vulnerabilidades de dia zero, porque um fornecedor de software ou de dispositivos tem zero dia para corrigir a falha antes que agentes mal-intencionados possam aproveitá-la. Os ataques resultantes são conhecidos como ataques de dia zero.

Embora o malware, ou software malicioso, seja frequentemente um componente de outros vetores de ataque, como de engenharia social ou cadeia de suprimentos, ele também pode ser considerado sua própria categoria de vetor. Em 2024, o ransomware representou a maior parte dos casos de malware (28%), de acordo com o IBM X-Force Threat Intelligence Index.

Outros exemplos de malware são malware de acesso remoto (que fornece acesso remoto a hackers), cavalos de troia (programas maliciosos disfarçados de úteis) e spyware (programas que coletam informações confidenciais e as enviam aos hackers).

O malware infostealer, projetado para roubar informações valiosas, é uma ameaça crescente no seto. De acordo com o X-Force Threat Intelligence Index, o número de infostealers entregues semanalmente por e-mails de phishing aumentou 84%.

Embora os hackers tenham uma infinidade de ferramentas digitais à sua disposição, as invasões físicas continuam sendo uma preocupação real na cibersegurança. Por exemplo, os invasores podem falsificar crachás, se passar por fornecedores ou seguir uma pessoa autorizada até a área segura de uma empresa (uma prática conhecida como tailgating). A partir daí, eles podem roubar notebooks e outros dispositivos, baixar malware ou deixar unidades USB carregadas com malware pelo escritório (para que funcionários curiosos conectem as unidades e, inadvertidamente, carreguem malware).

De acordo com o relatório do custo das violações de dados de 2025 da IBM, roubo físico ou problemas de segurança custam às organizações mais de US$ 4 milhões, em média, por incidente.

Os ataques cibernéticos geralmente abrangem dois ou mais vetores de ataque. Por exemplo, os invasores podem usar phishing para enganar um usuário e permitir que ransomware seja baixado em seu computador. Então, o invasor pode ameaçar com um ataque de DDoS caso a vítima não pague o resgate exigido. Ou então, eles podem fazer uma exploração de uma vulnerabilidade no sistema de um fornecedor para acessar os sistemas de seus clientes (um ataque de cadeia de suprimentos) e injetar código malicioso nesses sistemas para procurar credenciais que os hackers possam usar para exfiltrar dados.

Outra forma de organizar os vetores é dividi-los em dois grupos: passivos ou ativos.

Os cibercriminosos usam vetores de ataque passivos para obter acesso a informações sem alterar o sistema. Um exemplo de um vetor de ataque passivo seria uma rede Wi-Fi sem criptografia, tornando-a vulnerável à interceptação por hackers.

Ao contrário, os hackers usam vetores de ataque ativos para obter controle, interromper ou impactar os sistemas. Os vetores de ataque ativos incluem ataques de denial-of-service e ataques de ransomware.

Às vezes, a distinção entre o que constitui um vetor de ataque ativo e o que constitui um passivo não é clara. Por exemplo, o phishing pode ser considerado um vetor de ataque passivo quando é usado exclusivamente para obter informações de um alvo sem alterar o sistema do alvo. No entanto, o phishing que engana uma vítima para que baixe ransomware em um sistema pode ser considerado um vetor de ataque ativo.

Embora os profissionais de cibersegurança tenham uma variedade de ferramentas e estratégias à sua disposição, o gerenciamento da superfície de ataque (ASM) é especialmente importante para lidar com possíveis vetores de ataque. Ao contrário de outras disciplinas de cibersegurança, o ASM é conduzido a partir da perspectiva de um hacker, avaliando um sistema em busca de oportunidades que possam ser atraentes para um cibercriminoso.

O ASM consiste em quatro processos principais: