Uma nova campanha de cibercrime voltou a demonstrar que as defesas digitais mais comuns não são suficientes para travar atacantes determinados. Desta vez, nem a autenticação de dois fatores (2FA) ficou de fora do alcance dos criminosos, numa operação que afetou mais de 35 mil utilizadores espalhados por 26 países.
O que aconteceu, em linguagem simples
Para perceber a dimensão do problema, vale a pena recorrer a uma analogia. Pensemos num cofre bancário que exige dois tipos de chave para abrir: a senha pessoal e um código temporário enviado para o telemóvel. Durante anos, acreditámos que este sistema duplo era praticamente inviolável. O que esta campanha demonstrou é que existe uma forma de enganar o proprietário do cofre para que ele próprio entregue as duas chaves ao ladrão, sem sequer se aperceber.
É exatamente isto que os chamados ataques de “adversário no meio” (do inglês Adversary in the Middle, ou AiTM) fazem. Os criminosos criam páginas falsas que imitam serviços legítimos com uma fidelidade assustadora. Quando o utilizador introduz as suas credenciais e o código temporário do 2FA, essa informação é capturada em tempo real e usada imediatamente pelos atacantes para aceder à conta verdadeira. O utilizador pensa que está a entrar no seu serviço habitual. Na realidade, está a abrir a porta ao invasor.
Por que razão o 2FA já não é garantia de segurança absoluta
A autenticação de dois fatores foi, durante anos, o conselho número um dos especialistas em segurança digital, e continua a ser muito melhor do que não ter qualquer proteção adicional. No entanto, as técnicas de phishing evoluíram ao mesmo ritmo que as defesas. Nesta campanha específica, os atacantes utilizaram plataformas de phishing como serviço, ferramentas prontas a usar que qualquer criminoso pode alugar ou comprar, sem precisar de conhecimentos técnicos aprofundados. Isto democratizou o cibercrime de uma forma preocupante.
Quando o utilizador introduzia os seus dados na página falsa, um servidor intermediário controlado pelos atacantes retransmitia essa informação para o site legítimo em tempo real, capturando também o cookie de sessão gerado após o login. Com esse cookie, os criminosos conseguem autenticar se num serviço sem precisar de introduzir qualquer senha, porque o sistema interpreta a sessão como já verificada e legítima.
Quem foram os alvos e qual o objetivo final
A campanha teve um foco claro no mundo empresarial. Os ataques concentraram se em executivos, gestores de conta e profissionais com acesso a dados financeiros sensíveis. O objetivo não era apenas roubar credenciais por curiosidade: os criminosos procuravam acesso a contas de correio eletrónico corporativo para perpetrar fraudes financeiras, redirecionar pagamentos e aceder a informação confidencial de empresas.
Os 26 países afetados incluem nações europeias, o que significa que Portugal e os países de língua portuguesa não estão imunes a este tipo de operações. A escala global da campanha sublinha que os atacantes não escolhem as vítimas pela sua localização geográfica, mas sim pelo valor dos dados que possuem.
O que os utilizadores e as empresas podem fazer
A primeira linha de defesa continua a ser a desconfiança saudável. Antes de introduzir qualquer credencial numa página, os utilizadores devem verificar com atenção o endereço completo na barra do navegador, procurando discrepâncias subtis como letras trocadas ou domínios desconhecidos.
Do lado das organizações, a adoção de chaves de segurança físicas (como as chaves FIDO2) representa atualmente a proteção mais robusta contra ataques AiTM, porque o processo de autenticação está vinculado ao domínio legítimo do site e não pode ser interceptado por uma página falsa. Adicionalmente, a monitorização de sessões suspeitas e a formação regular dos colaboradores continuam a ser investimentos essenciais que muitas empresas ainda subestimam.
Esta campanha serve como um lembrete de que a segurança digital não é um produto que se compra uma vez, mas um processo contínuo de adaptação. Os atacantes evoluem, e as defesas têm de acompanhar esse ritmo.
Fonte: Notícia Original
