O phishing já não se limita ao uso de e-mails ou links facilmente identificáveis como vetores de ataque. Embora essas técnicas continuem existindo, os ataques modernos visam contornar medidas de segurança mais robustas, como a autenticação de dois fatores (2FA), ou se apropriar de cookies de sessão.
Neste artigo, será explicado como funcionam essas técnicas avançadas de phishing e quais medidas podem ser adotadas para mitigar seus riscos.
Phishing Tradicional vs Avançado
O phishing tradicional concentra-se na obtenção de credenciais básicas, como nomes de usuário, senhas ou informações pessoais. Para isso, suplanta a identidade de uma organização ou indivíduo, geralmente por meio de e-mails ou formulários web simples.
Por outro lado, o phishing avançado utiliza ferramentas e técnicas mais sofisticadas para contornar os controles de segurança e o treinamento básico dos usuários na detecção de e-mails e domínios maliciosos, direcionando seus esforços especificamente para:
Capturar códigos de uso único (One-Time Passwords)
Sequestrar a sessão ativa de um usuário sem a necessidade de capturar as credenciais ou o segundo fator de autenticação.
Diferentemente do phishing tradicional, que se concentra no roubo de credenciais, os ataques de phishing avançados também têm como objetivo roubar a sessão autenticada. Isso é feito principalmente por meio do roubo de cookies de sessão, o que permite aos atacantes contornar completamente mecanismos como a autenticação de dois fatores.
(Acesso livre, não requer assinatura)
O que são Cookies de Sessão?
Cookies de sessão são identificadores que o servidor envia ao navegador do usuário após o processo de autenticação ter sido concluído com sucesso. Essas cookies permitem manter o estado da sessão sem exigir que o usuário se autentique novamente a cada solicitação.
Se um atacante conseguir capturar essa cookie, ele poderá injetá-la em seu próprio navegador e assumir a identidade do usuário legítimo, já que o site confiará que a sessão já foi autenticada anteriormente.
Por esse motivo, muitas defesas modernas já não se concentram apenas na proteção de credenciais, mas também na prevenção do sequestro e da reutilização de sessões.
Técnicas avançadas de phishing
1. Phishing com Proxy em Tempo Real (Man-in-the-Middle)
Essa técnica utiliza um servidor intermediário (proxy) que se posiciona entre a vítima e o site legítimo.
Mecanismo
O atacante envia um link que direciona para uma página de proxy, controlada por ele, que aparenta ser idêntica ao site real.
Quando a vítima insere suas credenciais e o código 2FA, o proxy as retransmite ao site legítimo e captura as cookies de sessão.
O atacante obtém acesso em tempo real, mesmo com o 2FA ativo.
2. Ataque de solicitações de aprovação 2FA por “fadiga”
Essa tática não rouba diretamente o código 2FA, mas sobrecarrega o usuário com solicitações de aprovação. O objetivo desse ataque são usuários que utilizam métodos de aprovação do tipo push, nos quais recebem uma notificação para aprovar o login.
O atacante obtém as credenciais do usuário (roubadas por meio de phishing clássico ou com info stealers).
Realiza múltiplas tentativas de login, acionando repetidas notificações de “Aprovar início de sessão” no aplicativo de 2FA (por exemplo, Duo, Microsoft Authenticator).
O objetivo é que o usuário, irritado ou confuso com a enxurrada de notificações, aprove uma delas sem refletir.
Uma vez que o usuário aprova a solicitação, o atacante pode iniciar sessão normalmente e obter uma cookie de sessão válida, que depois pode ser reutilizada sem a necessidade de repetir o processo de autenticação.
Esse tipo de ataque baseia-se na confiança que os usuários depositam nas janelas pop-up utilizadas para acessar sistemas por meio de métodos de login único (Single Sign-On – SSO), como os do Google ou da Microsoft.
Os atacantes utilizam uma combinação de HTML, CSS e JavaScript para simular uma janela do navegador dentro da própria janela real.
A janela fraudulenta exibe uma URL que aparenta ser legítima, mas que, na realidade, não corresponde ao destino para o qual as credenciais do usuário são enviadas.
Outros vetores de comprometimento de cookies de sessão
Embora o phishing seja o vetor mais comum, as cookies de sessão também podem ser comprometidas por meio de outros métodos técnicos:
Phishing combinado com XSS: se o site for vulnerável a Cross-Site Scripting, um atacante pode injetar scripts que exfiltram cookies que não estejam devidamente protegidas.
Malware e Info Stealers: programas maliciosos instalados no dispositivo do usuário que procuram arquivos de cookies armazenados localmente e os enviam ao atacante.
Esses vetores reforçam a importância de proteger as cookies não apenas sob a perspectiva do usuário, mas também a partir do design do aplicativo.
Phishing como Serviço (PhaaS)
Nos últimos anos, observou-se um crescimento significativo dos serviços de Phishing as a Service (PhaaS) oferecidos em mercados clandestinos. Essas plataformas funcionam sob um modelo de assinatura e permitem que agentes maliciosos lancem campanhas de phishing de forma simples, sem a necessidade de conhecimentos técnicos avançados.
Os kits e serviços de PhaaS costumam integrar técnicas avançadas, como proxies em tempo real, roubo de cookies de sessão e evasão de mecanismos de autenticação multifator (2FA), facilitando ataques altamente eficazes e escaláveis. Isso reduz a barreira técnica de entrada para o cibercrime e amplia o impacto das campanhas de phishing em larga escala.
Mitigação e Medidas de Prevenção
Para os Usuários
Medida
Descrição
Usar 2FA baseado em FIDO2/WebAuthn
Preferir chaves de segurança físicas (hardware tokens), como a YubiKey, pois elas são resistentes a ataques de phishing com intermediário (Man-in-the-Middle).
Inspecionar URLs Cuidadosamente
Verificar sempre se a URL é a legítima antes de inserir qualquer credencial, mesmo que o site pareça idêntico.
Manter o Software Atualizado
Garantir que o navegador, o sistema operacional e o software antivírus estejam atualizados para prevenir vulnerabilidades de roubo de cookies.
Encerrar Sessões Ativas
Acostumar-se a encerrar a sessão manualmente em sites sensíveis, especialmente em dispositivos compartilhados.
Gerenciador de Senhas
Utilizar um gerenciador de senhas confiável (Bitwarden, 1Password, KeePass, etc.) para gerar e armazenar senhas únicas e robustas por site, reduzindo o impacto de vazamentos e a reutilização de credenciais.
Para as Organizações
Estratégia
Detalhe
Implementar 2FA Resistente a Phishing
Oferecer autenticação utilizando WebAuthn ou certificados (FIDO2, Passkeys).
Monitoramento de Sessões Anômalas
Detectar mudanças incomuns na localização geográfica, no IP ou no agente do usuário de uma sessão ativa (indicativo de hijacking).
Utilizar Atributos de Cookie Seguro
Implementar HttpOnly (para prevenir roubo por XSS) e Secure (para garantir a transmissão apenas via HTTPS).
Proteção contra Reutilização de Cookies
Vincular a cookie de sessão ao dispositivo, ao navegador ou ao contexto de rede.
Tempo de vida curto para cookies de sessão e reautenticação para ações críticas.
Configurar um tempo de vida para as cookies de sessão e solicitar credenciais e/ou 2fa para ações críticas dentro do aplicativo.
Capacitação Contínua
Realizar simulações de phishing que incluam a detecção de ataques por proxy e a conscientização sobre a fadiga de 2FA.
Uso de Gerenciadores de Senhas Corporativos
Adotar gerenciadores de senhas corporativos que permitam controle centralizado, compartilhamento seguro de credenciais e auditoria de acessos.
Conclusão
No futuro, a ameaça de ataques de phishing avançados será cada vez mais frequente. Isso compromete até mesmo usuários com autenticação de dois fatores (2FA) ativa e baixo nível de conscientização em segurança.
É importante a adoção de métodos de autenticação resistentes a phishing, como FIDO2/Passkeys, e um alto nível de vigilância e educação, tanto por parte dos usuários quanto das organizações.
