A Cipher, unidade de cibersegurança do Grupo Prosegur, identificou um aumento expressivo em uma campanha de fraude digital conhecida como Device Code Phishing, que utiliza códigos de acesso legítimos para enganar usuários e obter acesso a contas corporativas. Segundo a empresa, o golpe se multiplicou por 37 entre 2024 e 2026, com impacto crescente em organizações de diversos setores.
O método se diferencia do phishing tradicional por não utilizar arquivos maliciosos nem links suspeitos, o que dificulta a detecção por soluções convencionais de segurança. Em vez disso, os criminosos exploram a confiança dos usuários em páginas e serviços legítimos, induzindo a inserção de códigos de autenticação que acabam concedendo acesso às contas corporativas.
Ataques exploram confiança em sistemas de autenticação
De acordo com a análise da Cipher, o principal fator de risco está no uso indevido de fluxos legítimos de autenticação, o que permite que o ataque ocorra sem deixar rastros em endpoints ou gerar alertas tradicionais de segurança.
Os criminosos conseguem obter acesso às contas após a inserção do código pelo próprio usuário, em um processo que ocorre integralmente dentro de serviços oficiais. Isso amplia a capacidade de evasão das ferramentas de proteção mais tradicionais.
A empresa destaca ainda que o golpe não apresenta crescimento gradual, mas sim uma aceleração significativa. Em 2024, o tipo de fraude aparecia cerca de uma vez por dia nas organizações. Em 2026, passou a ocorrer até 37 vezes ao dia, segundo a análise.
Persistência e automação ampliam impacto das invasões
A Cipher aponta dois fatores como principais responsáveis pela gravidade da campanha: a persistência prolongada e o alto nível de automação.
Após o acesso inicial, os criminosos podem manter a invasão ativa por semanas ou meses, mesmo após mudanças de senha, graças a permissões que permitem reativação de sessões. Além disso, a automação acelera a exploração do ambiente corporativo, permitindo ações como leitura de e-mails, extração de documentos e criação de acessos permanentes em poucos segundos.
Esses elementos tornam o ataque mais difícil de detectar e conter, aumentando o risco para empresas.
Segurança baseada em identidade se torna prioridade
Para Catarina Viegas, CEO Latam da Cipher, o avanço desse tipo de fraude exige uma mudança na forma como as empresas estruturam suas estratégias de proteção. “A segurança não pode mais depender exclusivamente de senhas ou da detecção de arquivos maliciosos, mas deve focar no monitoramento contínuo dos protocolos de autenticação, dos privilégios concedidos e da saúde da identidade digital.”
A executiva também destaca a necessidade de revisão constante de acessos e permissões, além de monitoramento de aplicações internas e políticas de acesso condicional. “É essencial que as companhias disponham de mecanismos que permitam identificar e remover e-mails fraudulentos de todas as caixas de entrada corporativas para evitar sua propagação. Também reforçamos a importância de aplicar políticas estritas de Acesso Condicional na nuvem, garantindo a verificação de identidade além das credenciais básicas”, completa.
Carlos A. Fernández, diretor da divisão xMDR da Cipher, reforça que o ataque explora a confiança do usuário em sistemas legítimos. “Estamos diante de uma campanha que não busca explorar a vulnerabilidade de sistemas, mas sim aproveitar a confiança do usuário e dos próprios serviços de autenticação. É uma mudança profunda na forma de atacar as empresas e nos obriga a reforçar a vigilância sobre a identidade digital. Compreender como essa técnica opera e o seu ritmo de crescimento nos permite antecipar e ajudar as organizações a se protegerem contra uma ameaça que já está ativa e que continuará evoluindo”, afirma.
