Ao comprar através dos nossos links, podemos receber uma comissão. Saiba como funciona.

Já não basta proteger a password: esta nova ameaça rouba a tua conta na mesma

Tens uma password forte. Tens a autenticação de dois fatores ativa. E, mesmo assim, podes perder o acesso à tua conta sem que um hacker precise de roubar a tua password ou o código de autenticação. Chama-se EvilTokens e está a espalhar-se rapidamente.

Adicionar 4gnews como fonte preferida
palavrapases
Imagem gerada por IA | ChatGPT

Segundo a ESET, o EvilTokens é uma plataforma de Phishing-as-a-Service (PhaaS) com inteligência artificial integrada, criada para roubar tokens de autenticação do Microsoft 365. Ao contrário de muitos ataques de phishing, não recorre a malware nem a páginas de login falsas. Em vez disso, explora um mecanismo legítimo de autenticação da própria Microsoft para comprometer contas.

O kit foi identificado em ataques ativos desde, pelo menos, fevereiro de 2026 e foi rapidamente adotado por hackers em campanhas de comprometimento de email empresarial (Business Email Compromise ou BEC). Numa dessas campanhas, registada em março de 2026, foram visadas mais de 340 organizações em vários países.

Como funciona o ataque

O mecanismo explorado chama-se OAuth 2.0 Device Authorization Grant, um protocolo da Microsoft concebido para dispositivos sem teclado ou um navegador, como Smart TVs, impressoras ou equipamentos IoT. Nestes casos, o dispositivo apresenta um código que o utilizador introduz numa página oficial da Microsoft para concluir a autenticação.

O EvilTokens explora precisamente este mecanismo. Em vez de um dispositivo legítimo, é o hacker quem inicia o pedido de autenticação e gera o código, convencendo a vítima a concluir o processo em seu nome.

O ataque começa quando o hacker envia um pedido à API da Microsoft para gerar um código de dispositivo. As mensagens de phishing são enviadas a partir de contas legítimas já comprometidas, o que lhes permite passar nos controlos de autenticação de email. Para a vítima, tudo parece legítimo: SPF, DKIM e DMARC surgem como válidos.

Os hackers utilizam mensagens falsas que imitam notificações de documentos partilhados no OneDrive, pedidos de assinatura no DocuSign, aprovações de faturas ou convites para eventos no calendário.

Quando a vítima introduz o código e conclui a autenticação, acredita que está apenas a validar um acesso legítimo. Na realidade, está a autorizar a sessão iniciada pelo hacker, que recebe um token de autenticação válido com acesso ao email, documentos, calendário e contactos da conta. Em nenhum momento o atacante precisa de conhecer a password ou o código da autenticação de dois fatores.

Porque é que a autenticação de dois fatores não te protege?

O fluxo de código de dispositivo foi concebido para autenticar sessões em dispositivos que não conseguem concluir a autenticação de dois fatores por si próprios. Quando o utilizador conclui a autenticação na página oficial da Microsoft, está, sem se aperceber, a autorizar a sessão do hacker e não a sua própria.

É este o detalhe que torna o EvilTokens diferente de tudo o que existia antes. Ativar a autenticação de dois fatores continua a ser essencial para a esmagadora maioria dos ataques, mas não é suficiente contra este método específico.

Os tokens emitidos sobrevivem a reposições de password e mantêm-se válidos durante semanas ou meses, dependendo da configuração. Mudar a password não invalida o acesso. Só a revogação explícita do token fecha a porta.

A dimensão do problema

A Huntress registou um aumento de 1380% nos ataques de device code phishing entre o segundo semestre de 2025 e o início de 2026. O EvilTokens estava a ser vendido no Telegram com subscrições a partir de 600 dólares, baixando drasticamente a barreira de entrada para operadores sem conhecimentos técnicos avançados.

Os sectores mais visados incluem finanças, recursos humanos, logística e vendas. Os países com maior concentração de utilizadores empresariais do Microsoft 365, como Estados Unidos, Austrália, Canadá, França e Suíça, estão no topo da lista de alvos.

O FBI já emitiu um aviso sério a todos os utilizadores com conta no Microsoft 365 sobre este tipo de ataque, e a escala do problema justifica a preocupação.

O que podes fazer para te protegeres

A medida mais eficaz no contexto empresarial é desativar o fluxo de autenticação por código de dispositivo no Microsoft Entra ID, se a tua organização não usa dispositivos que dependam dele.

Para utilizadores individuais, a regra é simples: nenhum serviço legítimo te pede para ires a microsoft.com/devicelogin e introduzires um código que chegou por email sem que tu próprio tenhas iniciado esse processo. Se recebes esse pedido sem o teres solicitado, é ataque.

Monitoriza a actividade da tua conta regularmente e ativa alertas de início de sessão. Se detetares sessões ativas em dispositivos que não reconheces, revoga o acesso imediatamente nas definições da conta Microsoft.

A Microsoft já começou a eliminar as passwords em favor de métodos mais seguros como as passkeys, mas enquanto o OAuth de código de dispositivo existir, este risco mantém-se ativo.

McAfee Total Protection 15 Meses para 10 dispositivos
McAfee Total Protection 15 Meses para 10 dispositivosantivírus com IA, VPN segura, gestor de passwords, protección contra fraudes
21,99 €Amazon
109,95 €-80%
Miguel Vieira
Miguel Vieira
Redator no 4gnews com formação em Programação e Multimédia. Cobre tecnologia, gaming e mobilidade elétrica, com presença em eventos como a Web Summit, Lisboa Games Week, ECarShow e SAHE.