🕵️O roubo de sessão pós-autenticação (AiTM)
Em vez de roubar uma senha, essa técnica intercepta a sessão logo depois que a vítima valida o código de autenticação em dois fatores — o invasor se posiciona como um intermediário invisível entre a vítima e o serviço real. Resultado: a autenticação em dois fatores realmente aconteceu, mas não serviu para nada. Só em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos ligados a um único desses kits ("Tycoon 2FA"), usado contra contas Microsoft 365 no mundo todo.
Microsoft Defender for Office 365, outubro de 2025☎️O phishing por retorno de ligação (TOAD)
Um e-mail sem link nem anexo: apenas um número para ligar de volta sobre uma fatura duvidosa ou uma assinatura a confirmar. Sem URL para escanear nem arquivo para analisar, os filtros automáticos clássicos não detectam nada — o golpe acontece inteiramente ao telefone, onde um falso atendente guia a vítima para instalar um acesso remoto ou fornecer suas credenciais. A consultoria de pesquisa Trustwave mediu um aumento de 140% dessas campanhas entre julho e setembro de 2024, com Microsoft, Norton, PayPal e DocuSign entre as marcas mais imitadas.
Trustwave, 2024-2025O ponto em comum: driblar o automatismo, não a atenção
Essas duas técnicas não exploram uma falha técnica no sentido clássico — elas exploram um limite estrutural das ferramentas de detecção automatizadas, eliminando o elemento que elas sabem analisar (um link, um anexo). O que resta é uma interação humana construída para parecer legítima: uma página de login idêntica à original, ou uma voz tranquilizadora do outro lado da linha. É exatamente esse tipo de padrão que uma proteção multicanal precisa aprender a reconhecer, em vez de escanear.
Perguntas frequentes
A autenticação em dois fatores ainda protege contra phishing?
Ela continua útil contra o roubo de senha simples, mas não contra um ataque "adversary-in-the-middle": o invasor intercepta a sessão logo após a validação do código, então a autenticação em dois fatores já aconteceu — inutilmente.
O que é o phishing por retorno de ligação (TOAD)?
Um e-mail sem link nem anexo, apenas um número de telefone para ligar de volta por um motivo crível (fatura, assinatura). Ao telefone, um falso atendente guia a vítima para instalar um programa ou fornecer suas credenciais.
Por que essas técnicas escapam dos filtros automáticos?
Porque muitas vezes não têm link suspeito nem anexo malicioso para escanear — o golpe acontece na interação humana, ao telefone ou em uma página que imita perfeitamente a verdadeira.