As empresas que confiam em serviços de login único (SSO) como Okta acabam de receber um alerta que volta a demonstrar quão criativos e perigosos são os atacantes quando combinam engenharia social com ferramentas técnicas. Pesquisadores do Okta identificaram kits de phishing projetados especificamente para ataques por telefone, conhecidos como vishing, que funcionam como plataformas “adversario-en-el-médio” em tempo real e são oferecidos em um modelo “como serviço”. Esses kits não são páginas estáticas: permitem a quem chama interagir e modificar o que vê a vítima enquanto ocorre a chamada, facilitando o roubo de credenciais e a evação de múltiplos mecanismos de defesa.
De acordo com o relatório publicado pelo Okta, estes kits incluem um painel de controlo desde o qual o atacante guia o fluxo de autenticação, atualiza as janelas mostradas na web e sincroniza os ecrãs com os pedidos que o serviço legítimo emite no momento de um início de sessão. Assim, quando a vítima escreve seu usuário e senha na página fraudulenta, essas credenciais são reenviadas ao atacante para tentar o acesso real imediatamente. Se aparecer um desafio de autenticação adicional - como uma notificação push ou um código TOTP -, o atacante pode mudar a interface que vê a vítima para coincidir com o pedido legítimo e convencê-la a aprovar ou introduzir o código que acabou de receber, tudo enquanto mantém a conversa telefônica.
Os atacantes atuam com planejamento: realizam reconhecimento prévio para saber quais aplicativos usa uma pessoa objetivo e os números de telefone associados ao suporte da empresa, criam páginas de phishing personalizadas que imitam domínios internos (por exemplo, variantes que incluem "internal" ou "my" junto ao nome da empresa) e chamam de números suplantados que aparentam ser do serviço de ajuda. Em muitos dos incidentes documentados, os fluxos de dados entre a página de phishing e o backend do atacante são transmitidos em tempo real através de tecnologias como o Socket.IO e através de canais de mensagens como o Telegram, o que permite gerir a sessão da vítima imediatamente.
Essa abordagem converte o SSO em um objetivo especialmente atrativo: um único início de sessão pode dar acesso a uma lista de aplicações corporativas (correu, armazenamento na nuvem, CRM, ferramentas de colaboração e mais) pelo que comprometer uma conta pode abrir a porta a um grande volume de informação valiosa. Okta e os meios que cobriram o caso descrevem como, uma vez dentro do painel de Okta, os atacantes revisam quais aplicativos estão associados à conta comprometida e extraem dados das que contêm informações sensíveis — com menções concretas a plataformas como a Salesforce entre as mais exploradas — para exigir extorsão ou vender a informação.
Uma das técnicas mais preocupantes que permitem esses kits é a capacidade de sortear mecanismos modernos de MFA baseados em notificações push e “number matching”. Ao indicar à vítima exatamente que número ou ação selecionar na notificação, e ao mostrar simultaneamente na página fraudulenta um diálogo idêntico, o atacante consegue que uma aprovação pareça legítima. O mesmo acontece com os códigos TOTP: se o operador na chamada solicitar o código e a vítima o introduz na web apócrifa, esse valor chega ao atacante e é usado instantaneamente para completar a autenticação.
Okta recomenda aos seus clientes migrar para métodos de autenticação resistentes a phishing, como Chaves FIDO2, passkeys ou sua própria solução FastPass, que reduzem drasticamente a eficácia deste tipo de ataques porque não dependem de códigos ou aprobações que podem ser retransmitidos pelo intermediário. Você pode ler o aviso técnico e as recomendações de Okta em sua entrada sobre como esses kits se adaptam ao roteiro dos que chamam em: Okta: Phishing kits adapt to the script of callers. Okta também mantém orientação prática para identificar e mitigar campanhas de engenharia social dirigidas a mesas de ajuda em: Help desks targeted in social engineering.
A imprensa especializada tem investigado e documentado casos concretos em que estes kits foram usados em ataques contra empresas de setores financeiros e de gestão patrimonial, e como os criminosos combinaram acesso inicial com extorsão posterior. Um bom resumo jornalístico do ocorrido pode ser consultado na cobertura de BleepingComputer: BleepingComputer: Okta warns of vishing phishing kits.
O que as organizações e as pessoas podem fazer para reduzir o risco? A resposta passa por várias frentes que vão desde a tecnologia até os processos e a cultura de segurança. Limitar a exposição de credenciais delegadas e aplicar o princípio de menor privilégio no acesso a apps reduz o impacto de um compromisso. Implementar e priorizar fatores de autenticação que não sejam susceptíveis de serem retransmitidos por um intermediário – as chaves hardware e as credenciais baseadas em padrões FIDO são um exemplo – oferece uma defesa efetiva contra esses kits em tempo real. Além disso, adotar controles que detectem comportamentos incomuns nos inícios de sessão, inspeccionar e bloquear domínios de phishing conhecidos e fortalecer os procedimentos de verificação para chamadas entrantes ao suporte técnico ajuda a cortar o vetor de engenharia social por telefone.
Também é fundamental a formação contínua do pessoal: ensinar a verificar a autenticidade de chamadas de suporte, a não introduzir credenciais em páginas que chegam por links não verificados e a usar canais seguros para confirmar interações sensíveis. Os centros nacionais de cibersegurança oferecem guias práticas sobre como reconhecer e responder a phishing e vishing, por exemplo, a documentação do Reino Unido no National Cyber Security Centre: NCSC: Phishing guidance, e organizações como a FIDO Alliance explicam por que as tecnologias baseadas em chaves públicas dificultam a vida aos atacantes: FIDO Alliance.
Estes incidentes mostram duas lições claras: primeiro, que os atacantes continuam a refinar a mistura entre engenharia social e automação para criar ataques muito eficazes; e segundo, que a segurança baseada apenas em palavras-passe e em fatores que possam ser retransmitidos deixará sempre uma porta aberta. Realizar migrações planejadas para autenticação resistente a phishing, combinar detecção proativa com práticas de verificação humana e reduzir a superfície de acesso através de políticas de permissões rigorosas são passos que já não podem demorar para as organizações que gerem dados sensíveis.
Se você quiser aprofundar a pesquisa original e as recomendações técnicas, veja a análise de Okta e a cobertura jornalística ligada acima; ambas as leituras oferecem contexto e passos concretos para começar a endurecer defesas contra este tipo de campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...