🕵️O roubo de sessão após autenticação (AiTM)
Em vez de roubar uma palavra-passe, esta técnica intercepta a sessão logo depois de a vítima ter validado o seu código de dupla autenticação — o atacante posiciona-se como um intermediário invisível entre a vítima e o serviço real. Resultado: a dupla autenticação até aconteceu, mas não serviu de nada. Só em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de emails maliciosos ligados a um único destes kits («Tycoon 2FA»), usado contra contas Microsoft 365 em todo o mundo.
Microsoft Defender for Office 365, outubro de 2025☎️O phishing por chamada de retorno (TOAD)
Um email sem ligação nem anexo: apenas um número para ligar de volta por causa de uma fatura duvidosa ou uma subscrição a confirmar. Sem URL a analisar nem ficheiro a verificar, os filtros automáticos clássicos não detetam nada — a burla joga-se inteiramente ao telefone, onde um falso consultor guia a vítima para instalar um acesso remoto ou fornecer os seus dados de acesso. A consultora de investigação Trustwave mediu um aumento de 140% destas campanhas entre julho e setembro de 2024, com a Microsoft, a Norton, a PayPal e a DocuSign entre as marcas mais imitadas.
Trustwave, 2024-2025O ponto comum: contornar o automatismo, não a atenção
Estas duas técnicas não exploram uma falha técnica no sentido clássico — exploram uma limitação estrutural das ferramentas de deteção automatizadas, suprimindo o elemento que sabem analisar (uma ligação, um anexo). O que resta é uma interação humana construída para parecer legítima: uma página de início de sessão idêntica à original, ou uma voz tranquilizadora do outro lado da linha. É precisamente o tipo de esquema que uma proteção multicanal deve aprender a reconhecer em vez de analisar.
Perguntas frequentes
A dupla autenticação ainda protege contra o phishing?
Continua útil contra o roubo de palavra-passe simples, mas já não contra um ataque «adversary-in-the-middle»: o atacante intercepta a sessão logo após a validação do código, portanto a dupla autenticação já aconteceu — inutilmente.
O que é o phishing por chamada de retorno (TOAD)?
Um email sem ligação nem anexo, apenas um número de telefone para ligar de volta por um motivo credível (fatura, subscrição). Já ao telefone, um falso consultor guia a vítima para instalar um software ou fornecer os seus dados de acesso.
Porque é que estas técnicas escapam aos filtros automáticos?
Porque muitas vezes não contêm nem ligação suspeita nem anexo malicioso a analisar — a burla joga-se na interação humana, ao telefone ou numa página que imita perfeitamente a verdadeira.