Em fevereiro de 2026 saltou o alarme: uma filtração ligada a Figure - uma entidade do setor financeiro - deixou descoberto quase um milhão de endereços de e-mail. Essa contagem, impressiona pela sua magnitude, mas entender apenas como um número é ficar na superfície. Uma coleção de e-mails expostos não é o fim do incidente, é o inventário inicial que os atacantes transformam em vetores de acesso.
Quando um conjunto massivo de endereços entra em mãos hostis, esses endereços passam imediatamente a alimentar processos automatizados. Primeiro, combinam-se com bases de dados de sinistros anteriores para lançar campanhas de credential stuffing: pares de correio e senhas reutilizadas são testados em escala contra portais corporativos, passarelas VPN e fornecedores de identidade de uso maciço. Relatórios e guias de segurança sobre credential stuffing e seu impacto mostram que, com listas recentes e bem segmentadas, as taxas de sucesso podem produzir milhares de combinações válidas em questão de horas; a indústria o documenta e explica com detalhes em recursos como os de recursos Imperva.
Em paralelo, a mesma lista permite campanhas de phishing direcionadas e altamente personalizadas. A inteligência artificial acelera a geração de e-mails com cogumelos credíveis: mensagens que parecem comunicações internas, que mencionam nomes de projetos ou departamentos, e que replicam a estética de serviços legítimos. Com um endereço de e-mail e dados públicos como cargos ou perfis em redes profissionais, um atacante pode produzir em minutos um envio muito convincente. Para aqueles que querem aprofundar a forma como as ferramentas e os kits de exploração facilitam essas operações, os repositórios e análises técnicas sobre proxies de phishing em tempo real são uma referência, por exemplo, nos projetos de código aberto Evilginx2 e Modlishka.
Terceiro, a exposição de e-mails alimenta tentativas de engenharia social dirigidas ao serviço de suporte: chamadas ou interações onde o atacante, com dados básicos de OSINT, finge ser um empregado para solicitar reinícios de senha, reseteos de MFA ou desbloqueio de conta. Essa técnica ataca diretamente o processo humano que existe para corrigir falhas de autenticação, e não precisa de vulnerabilidades técnicas nos sistemas.
Em todos estes fluxos não há que imaginar um “exploit” sofisticado; a finalidade do atacante não é explorar um buraco do software, mas iniciar sessão como um utilizador legítimo. E aí está a matiz que muitas vezes se perde nas notícias: o risco real é a cadeia de ataque que segue a filtragem, e a pergunta crítica é se os controles de autenticação de uma organização podem interromper essa cadeia em algum ponto.
A resposta, infelizmente, é geralmente negativa. Grande parte da indústria tem confiado em formas de MFA — notificação push, códigos SMS, TOTP — que protegem a transmissão de um código ou a posse de um dispositivo, mas colocam uma pessoa como o último elo decisório. Essa dependência humana é precisamente o que atacam os métodos de relay em tempo real (também chamados AiTM, adversary-in-the-middle). Em um ataque deste tipo, um proxy malicioso retransmite as ações entre a vítima e o serviço legítimo: as credenciais são ingeridas em uma página clonada, o proxy as reenvia ao site real, o serviço gera um desafio de MFA, e a vítima, que acredita estar interagindo com o site legítimo, completa a segunda fator. O atacante recebe assim uma sessão autenticada apesar de não ter “explorado” o software do serviço.
É importante entender por que as formas de MFA mais comuns não interrompem esse ataque. Os mecanismos que verificam um código ou confirmam uma notificação não distinguem se a troca ocorreu diretamente entre usuário e serviço, ou através de um intermediário que retransmite a transação em tempo real. Além disso, existe o fenômeno conhecido como “MFA fatigue”: repetidas solicitações de aprovação podem levar usuários cansados ou confundidos a aceitar notificações suspeitas. A Microsoft e outros equipamentos de segurança têm documentado e avisado sobre esses padrões e sua exploração por atores criminosos; para aqueles que querem revisar análises institucionais sobre essas táticas, blogs de segurança de grandes fornecedores e centros de resposta a incidentes são fontes úteis, como Microsoft Security e os relatórios de divulgadores independentes como KrebsOnSecurity.
A abordagem habitual da indústria —formação a usuários para detectar phishing e lembretes sobre não aceitar solicitações inesperadas — não é errado, mas fica curta. A insuficiência é de arquitetura, não apenas comportamental. Um ataque de relay não depende da habilidade do usuário para reconhecer uma página clonada: a notificação MFA que recebe é legítima, emitida pelo serviço, dentro da aplicação habitual. Não há pistas óbvias para que o humano detecte a manobra.
Se a pergunta que devem responder a auditores, reguladores e seguradoras hoje é “podem provar que a pessoa autorizada esteve fisicamente presente e foi biométricamente verificada no momento da autenticação?”, muitas implementações tradicionais ficam sem resposta. Os padrões e orientações sobre identidade já diferenciam entre o teste de presença de um dispositivo e a verificação do indivíduo; o primeiro caso não garante que a pessoa tenha sido a que operou o acesso. O documento do NIST sobre os padrões de autenticação digital e as recomendações da FIDO Alliance explicam as limitações e endereços para mecanismos de autenticação resistentes ao phishing; ver, por exemplo, o guia do NIST em SP 800-63B e materiais da FIDO Alliance.
Que propriedades você deve ter uma autenticação para fechar de verdade a porta a esses ataques? Podem resumir-se em três exigências técnicas que devem coexistir: em primeiro lugar, uma ligação criptográfica à origem que torne impossível que um sítio falso firme uma transação destinada a outro domínio; em segundo lugar, chaves privadas atadas a hardware seguro que nunca abandonem esse enclave, para que não possam ser copiadas ou retransmitidas; e em terceiro lugar, uma verificação biométrica em tempo real que confirme a presença do indivíduo autorizado no ato de autenticação. Combinadas, essas garantias impedem que um proxy produza assinaturas válidas de uma origem diferente, que uma sessão seja reproduzida com material criptográfico exfiltrado, ou que um atacante complete o processo sem a presença física do titular.
FIDO2/WebAuthn traz um avanço importante em termos de origin binding e uso de chaves em hardware, e por isso costuma citar-se nessas discussões. No entanto, as implementações padrão podem ficar curtas se confiarem na sincronização na nuvem de credenciais ou em fluxos de recuperação que herdam outras vulnerabilidades. Por isso, os especialistas reclamam não apenas chaves ligadas ao dispositivo, mas também a incorporação de autenticação biométrica “em vivo” e controles de proximidade e hardware que fechem as rotas de recuperação inseguras. A especificação WebAuthn do W3C e a documentação do FIDO dão o quadro técnico para compreender estas diferenças: W3C WebAuthn e os recursos explicativos FIDO Alliance.
No mercado já aparecem produtos que reivindicam essa abordagem integral: hardware com chaves não exportaveis, biometria local obrigatória e verificação de proximidade. Esses dispositivos tentam eliminar o “juício humano” como ponto final de decisão: se não houver coincidência biométrica no momento e lugar da autenticação, nada é assinado e não é concedido acesso. É uma resposta arquitetônica à fragilidade que exploraram as campanhas de relay e as campanhas de MFA fatigue. Como em qualquer medida de segurança, essas soluções devem ser avaliadas por sua capacidade de integração, seu impacto na privacidade e seus procedimentos de recuperação ante perda de dispositivo; são uma peça da mitigação, mas orientam a arquitetura para um modelo de identidade centrado na verificação do indivíduo e não apenas do token.
A lição-chave que deixa a filtração de Figure – e a próxima que inevitavelmente virá – é que as organizações devem avaliar a sua autenticação do ponto de vista do atacante que já dispõe de dados iniciais: o modelo de autenticação que usam exige que o usuário, sob pressão e às vezes sem sinais de alerta, faça a decisão correta, ou impede tecnicamente que uma entidade alheia obtenha acesso sem a presença e verificação do titular?
Se a resposta actual for a primeira, é conveniente redesenhar a base. A proteção real contra os ataques que seguem a uma filtração massiva passa por mudar a arquitetura de autenticação, não só por treinar melhor as pessoas. Os guias de NIST e as iniciativas de FIDO são pontos de partida para entender o caminho técnico; as análises sobre credential stuffing, AiTM e MFA fatigue mostram por que a mudança é urgente. Consultar fontes técnicas e casos documentados ajuda a tomar decisões informadas: reveja os materiais NIST SP 800-63B, os recursos da FIDO Alliance, artigos de pesquisa e análise em KrebsOnSecurity ou relatórios de fornecedores como Imperva, e considerem testes de conceito que incorporem hardware seguro e biometria ao vivo para acessos de alto risco.
A filtragem de e-mails é apenas o primeiro passo de uma cadeia. A defesa eficaz exige pensar além do número de registros expostos e arquitectar controles que tornem impossível esses registros se tornarem acessos válidos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...