Entenda como funciona o Device Code Phishing, o golpe que invade contas sem precisar da sua senha
Uma nova modalidade de ataque cibernético tem chamado a atenção de especialistas em segurança da informação por sua capacidade de comprometer contas sem que a vítima precise digitar qualquer senha. Conhecido como Device Code Phishing, ou golpe do código de dispositivo, o método explora um mecanismo de autenticação legítimo para enganar usuários e obter acesso não autorizado a contas corporativas e pessoais. A técnica tem se tornado cada vez mais preocupante para empresas e usuários comuns, especialmente porque utiliza códigos reais e páginas verdadeiras de login, dificultando a identificação da fraude.
O ataque se baseia em um processo de autenticação criado para facilitar o acesso a dispositivos que não possuem teclado ou interface adequada para digitar senhas complexas, como televisões inteligentes e dispositivos conectados. Nesse fluxo legítimo, um aplicativo solicita acesso ao sistema e recebe um código temporário. O usuário deve acessar uma página oficial em outro dispositivo, inserir esse código e autorizar o acesso. O problema é que os cibercriminosos descobriram como se aproveitar desse mecanismo confiável para aplicar golpes.
Na prática, o atacante inicia o fluxo de login por dispositivo em um serviço legítimo, como os ecossistemas de identidade das principais empresas de tecnologia. Ao fazer isso, ele recebe um código de autenticação real e válido. Em seguida, envia esse código à vítima por meio de mensagens falsas, e-mails ou chats, solicitando que ela acesse a página oficial de login e digite o código recebido. Como o código é genuíno e a página de autenticação é verdadeira, o usuário não desconfia e acaba autorizando, sem saber, o acesso do criminoso à sua conta.
O que torna essa técnica especialmente perigosa é o fato de que a vítima interage apenas com páginas e sistemas legítimos. Não há redirecionamento para sites falsos nem necessidade de capturar senhas digitadas. Ao inserir o código na página oficial, o usuário concede ao atacante um token de autenticação, uma espécie de credencial digital que permite acesso à conta e aos serviços vinculados a ela. Esse token pode ser usado para acessar e-mails, documentos e demais recursos disponíveis na plataforma comprometida.
A popularização desse tipo de ataque cresceu significativamente com a oferta de ferramentas criminosas conhecidas como phishing como serviço, modelos em que grupos especializados vendem kits completos para a execução de golpes. Plataformas identificadas por empresas de cibersegurança permitem que até criminosos sem conhecimento técnico avançado consigam montar campanhas de Device Code Phishing. Essa comercialização de ferramentas tem ampliado o volume de ataques e tornado o golpe uma ameaça relevante para organizações de diferentes portes.
Especialistas explicam que a autenticação multifator, amplamente recomendada como camada adicional de segurança, pode não ser suficiente para bloquear esse tipo específico de ataque. Como o fluxo de código de dispositivo é projetado para funcionar de forma legítima em situações reais, os sistemas de segurança podem interpretar a ação como normal. A dificuldade de distinguir entre uma autorização genuína e uma manipulada por criminosos é justamente o que torna o Device Code Phishing tão eficaz e difícil de combater de forma automatizada.
A orientação dos especialistas é que usuários e empresas redobrem a atenção ao receber códigos de autenticação por dispositivos, especialmente quando solicitados por mensagens não solicitadas. Verificar a origem da solicitação e desconfiar de instruções que pedem acesso a páginas de login por meio de códigos compartilhados em e-mails ou chats são medidas essenciais. O Device Code Phishing representa um desafio crescente para a segurança digital, pois explora justamente a confiança dos usuários em sistemas legítimos, demonstrando que nem sempre a presença de páginas verdadeiras garante que uma transação é segura.