EvilTokens: Phishing que não rouba sua senha

Um novo tipo de ataque de phishing, chamado EvilTokens, está chamando a atenção de especialistas em segurança digital. Diferente dos golpes tradicionais, essa técnica não tem como alvo roubar a senha da vítima.

O ataque EvilTokens foi detalhado em um artigo do WeLiveSecurity. A abordagem dos criminosos é mais sofisticada e busca contornar as medidas de segurança que vão além da simples proteção por senha.

Em vez de capturar a senha, o EvilTokens foca em roubar os tokens de autenticação. Esses tokens são códigos temporários que sistemas usam para confirmar que um usuário já fez login, sem precisar digitar a senha novamente. Ao obter esses tokens, o invasor consegue acessar contas e sistemas sem nunca saber a senha original.

Este método representa uma ameaça direta a sistemas de autenticação de múltiplos fatores, que muitas empresas e usuários consideram uma barreira segura contra invasões. A técnica permite que os hackers burlem essa camada extra de proteção.

Ameaças em alta no mundo digital

Outras fontes também reportam movimentos parecidos no crime cibernético. O site TechRadar noticiou sobre o Kali365, descrito como uma espécie de "Amazon do crime cibernético". Nessa plataforma, hackers usam inteligência artificial para criar ataques que também conseguem contornar a autenticação de múltiplos fatores.

Já o Repairer Driven News publicou um alerta do FBI sobre ataques cibernéticos direcionados ao Microsoft 365. Segundo o órgão, esses ataques também não precisam de senhas para serem bem-sucedidos, o que reforça a tendência de golpes mais avançados e difíceis de detectar.

A tendência de busca pelo termo "what is phishing" (o que é phishing) se mantém alta, com mais de 500 consultas aproximadas, indicando que o público ainda busca entender os riscos básicos enquanto novas ameaças surgem.