Egidio
Dossiê · 2026

Quando um antivírus já não basta

O phishing de hoje nem sempre se parece com um e-mail mal escrito com um link suspeito. Duas técnicas documentadas driblam especificamente as defesas automáticas — uma a autenticação em dois fatores, a outra os filtros antispam.

🕵️O roubo de sessão pós-autenticação (AiTM)

Em vez de roubar uma senha, essa técnica intercepta a sessão logo depois que a vítima valida o código de autenticação em dois fatores — o invasor se posiciona como um intermediário invisível entre a vítima e o serviço real. Resultado: a autenticação em dois fatores realmente aconteceu, mas não serviu para nada. Só em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos ligados a um único desses kits ("Tycoon 2FA"), usado contra contas Microsoft 365 no mundo todo.

Microsoft Defender for Office 365, outubro de 2025

☎️O phishing por retorno de ligação (TOAD)

Um e-mail sem link nem anexo: apenas um número para ligar de volta sobre uma fatura duvidosa ou uma assinatura a confirmar. Sem URL para escanear nem arquivo para analisar, os filtros automáticos clássicos não detectam nada — o golpe acontece inteiramente ao telefone, onde um falso atendente guia a vítima para instalar um acesso remoto ou fornecer suas credenciais. A consultoria de pesquisa Trustwave mediu um aumento de 140% dessas campanhas entre julho e setembro de 2024, com Microsoft, Norton, PayPal e DocuSign entre as marcas mais imitadas.

Trustwave, 2024-2025

O ponto em comum: driblar o automatismo, não a atenção

Essas duas técnicas não exploram uma falha técnica no sentido clássico — elas exploram um limite estrutural das ferramentas de detecção automatizadas, eliminando o elemento que elas sabem analisar (um link, um anexo). O que resta é uma interação humana construída para parecer legítima: uma página de login idêntica à original, ou uma voz tranquilizadora do outro lado da linha. É exatamente esse tipo de padrão que uma proteção multicanal precisa aprender a reconhecer, em vez de escanear.

🔒 Um número para ligar de volta em um e-mail suspeito, ou uma página de login que pede de novo um código já digitado: dois sinais que um filtro clássico pode deixar passar, mas que um motor que conecta os canais entre si consegue cruzar. Veja como funciona a Medusa.

Perguntas frequentes

A autenticação em dois fatores ainda protege contra phishing?

Ela continua útil contra o roubo de senha simples, mas não contra um ataque "adversary-in-the-middle": o invasor intercepta a sessão logo após a validação do código, então a autenticação em dois fatores já aconteceu — inutilmente.

O que é o phishing por retorno de ligação (TOAD)?

Um e-mail sem link nem anexo, apenas um número de telefone para ligar de volta por um motivo crível (fatura, assinatura). Ao telefone, um falso atendente guia a vítima para instalar um programa ou fornecer suas credenciais.

Por que essas técnicas escapam dos filtros automáticos?

Porque muitas vezes não têm link suspeito nem anexo malicioso para escanear — o golpe acontece na interação humana, ao telefone ou em uma página que imita perfeitamente a verdadeira.

Para saber mais