Durante anos fomos ensinados a desconfiar de mensagens mal escritas, páginas falsas de login e ligações suspeitas. O problema é que os cibercriminosos também aprenderam essa lição. E estão a adaptar-se.
A ESET alerta agora para uma nova técnica de ataque baptizada EvilTokens, uma abordagem particularmente engenhosa que permite comprometer contas Microsoft 365 sem roubar palavras-passe, sem contornar sistemas de autenticação e sem sequer apresentar páginas falsas de login.
Parece contraditório? É precisamente isso que torna esta ameaça tão preocupante.
O que são os EvilTokens?
Os EvilTokens representam uma evolução das campanhas tradicionais de phishing.
Em vez de tentar roubar directamente as credenciais da vítima, os atacantes convencem o próprio utilizador a autorizar uma sessão legítima que, na realidade, foi iniciada pelos criminosos.
O resultado final é semelhante ao de um roubo de conta tradicional: acesso ao correio electrónico, documentos, ficheiros empresariais, reuniões e plataformas colaborativas.
Mas o caminho utilizado é completamente diferente.
Segundo a ESET, esta técnica tem sido observada em campanhas activas pelo menos desde Fevereiro de 2026 e explora um mecanismo legítimo da própria Microsoft.
Como funciona este ataque?
A explicação parece complexa, mas o conceito é surpreendentemente simples.
Os atacantes começam por identificar contas activas dentro de uma organização. Depois enviam mensagens que aparentam ser normais.
Podem surgir sob a forma de:
• Facturas
• Convites para reuniões
• Documentos partilhados
• Pedidos de acesso a plataformas empresariais
Ao clicar na ligação recebida, a vítima encontra uma página aparentemente credível que apresenta um código de dispositivo e instruções para o introduzir num portal oficial da Microsoft.
E aqui está o truque.
A página de autenticação para onde o utilizador é encaminhado é verdadeira.
O domínio é legítimo.
O sistema funciona exactamente como deveria.
Não existe uma página falsa para detectar.
Não existe uma palavra-passe para roubar.
A vítima acaba por introduzir o código e concluir a autenticação acreditando estar a validar um documento ou um pedido legítimo.
Na realidade, está a conceder acesso à sessão iniciada pelos atacantes.
O papel do OAuth e dos códigos de dispositivo
A técnica explora uma funcionalidade conhecida como Device Code Flow, integrada no protocolo OAuth 2.0.
Embora o nome pareça intimidante, provavelmente já utilizou algo semelhante sem dar por isso.
Imagine uma televisão inteligente que pede para iniciar sessão numa conta através do telemóvel. Em vez de escrever uma palavra-passe utilizando um comando remoto pouco prático, o dispositivo mostra um código.
O utilizador introduz esse código noutro equipamento e a autenticação fica concluída.
É um mecanismo extremamente útil e perfeitamente legítimo.
O problema surge quando um atacante gera esse código e convence outra pessoa a utilizá-lo.
A Microsoft vê apenas uma autenticação válida.
O utilizador vê apenas um processo legítimo.
E o criminoso recebe acesso autorizado.
Porque é mais perigoso do que parece
Grande parte das estratégias de formação em cibersegurança assenta na identificação de sinais suspeitos.
Verificar URLs.
Detectar erros ortográficos.
Desconfiar de páginas de login estranhas.
Os EvilTokens contornam praticamente todas essas recomendações.
Neste caso:
• O domínio é legítimo
• O processo de autenticação é legítimo
• A autenticação multifactor funciona normalmente
• Não existe recolha directa de credenciais
O ataque explora essencialmente a confiança humana e o contexto da comunicação.
É um excelente exemplo de como a engenharia social continua a ser uma das armas mais eficazes dos cibercriminosos.
Nem o MFA resolve tudo
Durante os últimos anos, a autenticação multifactor tornou-se uma das melhores ferramentas de defesa contra o roubo de contas.
E continua a ser.
Contudo, os EvilTokens demonstram que o MFA não é uma solução mágica para todos os problemas.
Neste cenário, a vítima autentica-se voluntariamente e confirma a operação através dos mecanismos legítimos de segurança.
Ou seja, o sistema de protecção está a funcionar exactamente como foi concebido.
O problema está na intenção por detrás do pedido.
Como reduzir os riscos
Segundo a ESET, as organizações devem adoptar uma combinação de medidas técnicas e formação contínua.
Entre as recomendações mais importantes estão:
• Desactivar o fluxo de código de dispositivo quando não for necessário
• Aplicar políticas de acesso condicional
• Monitorizar autenticações por código de dispositivo
• Detectar dispositivos desconhecidos e sessões suspeitas
• Formar colaboradores para reconhecer novas formas de engenharia social
• Criar procedimentos rápidos de revogação de tokens e sessões comprometidas
Para utilizadores individuais, a regra continua a ser simples: sempre que um serviço pedir a introdução de um código de autenticação fora do contexto habitual, vale a pena parar alguns segundos e confirmar se o pedido faz realmente sentido.
O factor humano continua a ser o alvo
A conclusão da ESET é particularmente interessante.
À medida que as empresas reforçam as suas infra-estruturas tecnológicas, os atacantes estão cada vez menos focados em vulnerabilidades técnicas e cada vez mais interessados em vulnerabilidades humanas.
Convencer alguém a abrir a porta continua a ser mais fácil do que arrombá-la.
Os EvilTokens representam precisamente essa mudança de paradigma. Em vez de contornar a segurança, aproveitam-se dela.
