Ataques de phishing por código de dispositivo disparam 37 vezes com novos kits
Uma nova onda de ataques de phishing está transformando o panorama de ameaças digitais. A técnica conhecida como device code phishing, que explora o fluxo de autorização OAuth 2.0, registrou um aumento explosivo de 37 vezes em 2026, segundo dados da Push Security. Essa escalada vertiginosa é impulsionada pela disseminação de kits de ataque prontos, como EvilTokens, VENOM, SHAREFILE e CLURE, que reduziram significativamente a barreira técnica para cibercriminosos.
Técnica explora fluxo de autenticação legítimo
O método engana usuários a inserir códigos de autorização em páginas de login autênticas de grandes provedores. Os ataques simulam o compartilhamento de documentos ou solicitações de acesso de serviços corporativos amplamente utilizados. As vítimas recebem mensagens que parecem vir de plataformas como Citrix, SharePoint ou Adobe, solicitando a aprovação de um suposto acesso ou compartilhamento. Ao inserir o código exibido em uma página de login real, a vítima concede inadvertidamente acesso total à sua conta.
Kits prontos democratizam a execução de ataques
A disponibilidade de ferramentas automatizadas permitiu que atacantes com pouca especialização técnica executem campanhas sofisticadas. Esses kits gerenciam todo o processo, desde a geração do código falso até a interceptação do token de autorização. Os principais alvos são contas de serviços essenciais como Microsoft 365, Google Workspace, Dropbox e Adobe. Ataques bem-sucedidos resultam no sequestro completo da conta, permitindo roubo de dados, movimentação lateral em redes corporativas e disseminação de malware adicional.
Ameaça crescente para contas corporativas e pessoais
A velocidade de adoção dessa técnica sinaliza uma mudança tática entre os cibercriminosos. Diferentemente do phishing tradicional por senha, o device code phishing contorna a autenticação multifator baseada em aplicativos, pois o código é válido e gerado pelo próprio serviço legítimo. Isso torna os ataques particularmente eficazes contra organizações que dependem de soluções como Microsoft Authenticator ou Google Authenticator. A técnica também afeta usuários individuais, especialmente aqueles que utilizam serviços de nuvem para armazenamento pessoal.
O impacto real dessa escalada é a necessidade urgente de revisão das estratégias de defesa. Equipes de segurança devem implementar treinamentos específicos sobre esse vetor, monitorar logs de autenticação OAuth para autorizações suspeitas e considerar políticas que restrinjam fluxos de consentimento para aplicações não confiáveis. A rápida proliferação de kits indica que essa ameaça se tornará um pilar dos ataques direcionados nos próximos meses, exigindo atenção imediata do mercado de segurança.