Há alguns anos, a técnica conhecida como "device code phishing" era algo que se estudava em conferências e se descrevia em papers técnicos; hoje já é uma ferramenta corrente no arsenal do crime digital. Em essência, os atacantes aproveitam-se de uma característica legítima do ecossistema OAuth 2.0 — o chamado Device Authorization Grant — projetado para facilitar o início de sessão em dispositivos sem teclado ou com entrada limitada, como televisores inteligentes, impressoras ou consoles. Em vez de tentar roubar palavras-passe, o atacante inicia um pedido de autorização da sua própria equipe, obtém um código curto e envia-o à vítima com um pretexto convincente: um contrato por assinar, um documento que “necessita revisão”, ou uma suposta notificação urgente de um serviço conhecido.
Quando a pessoa introduz esse código na página de acesso legítima, o que está fazendo na verdade é conceder acesso à sessão iniciada pelo atacante. O fluxo, que gera tokens de acesso e refresh válidos, permite a quem iniciou o pedido acessar a conta sem ter conhecido a senha ou romper a autenticação multifator. É uma fraude que usa as próprias regras do protocolo em seu contra, aproveitando a confiança nos fluxos de autenticação e a urgência criada no engano. Se você quiser rever a especificação técnica original que descreve este mecanismo, o RFC 8628 explica o Device Authorization Grant: https://datatracker.ietf.org/doc/html/rfc8628.
Pesquisadores de segurança têm alertado sobre este método desde 2020, mas tem sido nos últimos meses quando sua adoção disparou. Assinaturas especializadas documentaram um aumento monumental na detecção de páginas e kits que automatizam a fraude: uma casa de pesquisa apontou que, em questão de semanas, o volume de páginas detectadas passou de ser dezenas a se multiplicar por mais de trinta no que vai de ano. Você pode ler análises técnicas e exemplos de campanhas no trabalho de equipamentos como Push Security e em relatórios especializados: Push Security e o relatório publicado pela Sekoia sobre a Operação EvilTokens (SEKOIA Research).
O salto em popularidade não é casual. Surgiram serviços e kits de phishing que empacotam a técnica em forma de “phishing-as-a-service”, o que baixa a barreira de entrada para criminosos com poucos conhecimentos técnicos. Estes kits reproduzem de forma convincente interfaces de fornecedores SaaS — serviços de e-mail, plataformas de assinatura eletrônica, portais corporativos — e combinam-os com protecções anti-bots e hospedagem em infraestruturas na nuvem para evitar ser derrubados ou detectados com facilidade. Alguns kits focam em senheiros temáticos (documentos de assinatura, transferências de arquivos, notificações do Office/Adobe/SharePoint), o que aumenta a probabilidade de a vítima confiar na petição e copie o código recebido.
O que torna especialmente perigoso esta técnica é que não requer roubar senhas ou injetar malware para conseguir o acesso. Os tokens emitidos são legítimos e, salvo se existirem controles adicionais, permitem manter sessões, mover informações e estabelecer persistência com refresh Tokens. Além disso, a atividade pode parecer normal em muitas plataformas se os equipamentos de detecção não estão monitorando especificamente eventos relacionados a autenticações por código de dispositivo ou com padrões incomuns de criação de dispositivos autorizados.
Diante desse cenário, a defesa exige mudanças tanto a nível técnico como de conduta. Em ambientes corporativos, convém rever se o uso do Device Authorization Grant é realmente necessário para certos perfis e desativá-lo quando não for por políticas de acesso condicional; a Microsoft, por exemplo, documenta como funciona este fluxo e as opções de controle em sua plataforma de identidade: Device code flow (Microsoft identity platform) e seus guias sobre políticas condicionais: Azure AD Conditional Access. Também é boa prática instrumentar e revisar os registros de autenticação em busca de eventos de código de dispositivo inesperados, logins de IPs ou locais díspares, e sessões que não concordam com padrões habituais do usuário.
Para os usuários finais, a recomendação é simples e contundente: Não introduza códigos que não solicitaram ou tenham chegado sem um contexto claro. Se você recebe uma mensagem aparentemente urgente que lhe pede escrever um número em uma web, verifique a fonte por outra via (contatando diretamente o remetente por um canal conhecido, ou consultando o serviço oficial) antes de agir. Complementar as contas críticas com métodos de segurança mais rígidos, como chaves de segurança física ou autenticadores que não dependam de fluxos auto-figuráveis, acrescenta uma camada extra de proteção contra este tipo de fraudes.
A pressão sobre quem fornece serviços na nuvem e ferramentas de identidade também é alta. As equipes de plataforma podem mitigar parte do risco implementando controles por defeito mais restritivos, melhorando a telemetria para detectar usos legítimos frente a abusivos do fluxo de código e dificultando que páginas clonadas interajam de modo transparente com os endpoints de autorização. Enquanto isso, os operadores destes kits continuam a aproveitar a facilidade com que as páginas convincentes podem ser implementadas e o conforto das plataformas em nuvem para hospedar infraestruturas maliciosas.
Se você quer aprofundar exemplos e casos recentes de campanhas que empregam esses kits, incluindo o serviço conhecido como EvilTokens e outras famílias que apareceram nos últimos meses, há várias análises acessíveis na imprensa técnica e nos relatórios das empresas que investigam ameaças. Um bom ponto de partida é o artigo da BleepingComputer que resume a proliferação desses serviços e liga a pesquisas técnicas: BleepingComputer sobre EvilTokens, assim como a análise de SEKOIA Research citado acima.
Em suma, estamos perante uma evolução da fraude digital que beneficia de mecanismos legítimos. Não se trata de uma falha mágica que possa ser resolvida com uma única medida, mas sim de uma combinação de engenharia social, abuso de protocolos e profissionalização do crime que exige resposta coordenada: aplicar políticas técnicas em plataformas, melhorar a monitorização e, sobretudo, manter as pessoas informadas para não fornecerem acesso por impulso.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...