Artigo do blog: Segurança online
Olá e bem-vindo ao Fraude Ou Fiável!
Artigo do blog: Segurança online
As palavras-passe tradicionais estão gradualmente a ser substituídas por soluções de autenticação mais avançadas, como as passkeys e a autenticação multifator (MFA). Apresentadas como mais seguras, estas tecnologias não são, contudo, invulneráveis. Os burlões desenvolvem agora sites espelho capazes de intercetar em tempo real credenciais e sessões de autenticação multifator. Esta evolução marca um ponto de viragem nas técnicas de phishing online.
As passkeys baseiam-se em criptografia assimétrica e substituem as palavras-passe por um par de chaves digitais armazenadas no dispositivo do utilizador. Foram concebidas para impedir o roubo de credenciais através de fugas de bases de dados ou ataques de força bruta. Por sua vez, os sistemas MFA acrescentam uma segunda etapa de validação, como um código temporário ou uma confirmação biométrica.
Em teoria, estes mecanismos bloqueiam a maioria das tentativas clássicas de intrusão. No entanto, continuam vulneráveis quando o próprio utilizador valida uma ligação fraudulenta num site que imita na perfeição o original. A falha deixa de estar na tecnologia e passa a residir na manipulação em tempo real.
As novas campanhas de ataque utilizam kits de phishing capazes de atuar como intermediários entre a vítima e o serviço legítimo. O utilizador acredita que está a iniciar sessão na sua conta habitual, mas as suas ações passam por um servidor controlado pelos burlões. Estes recuperam então as credenciais e a sessão ativa.
Este procedimento, por vezes designado “ataque man-in-the-middle”, permite intercetar até códigos MFA de utilização única. Em certos casos, a validação biométrica ou a confirmação via smartphone é explorada instantaneamente pelo atacante para abrir a sua própria sessão paralela. Para a vítima, a ligação parece normal, quando na realidade já existe um acesso não autorizado ativo.
As passkeys são concebidas para funcionar exclusivamente com o domínio oficial de um serviço. No entanto, se o utilizador for redirecionado para um site fraudulento cuja aparência e endereço se assemelham fortemente ao original, poderá ser levado a iniciar o processo de autenticação.
Em determinados cenários, o atacante não procura roubar a chave privada em si, mas desviar a sessão já aberta após a validação. O objetivo passa então a ser a tomada de controlo da conta através de cookies de sessão intercetados. A complexidade técnica do ataque aumenta, mas continua a ser possível perante um utilizador pouco vigilante.
Mesmo que estes ataques sejam sofisticados, certos indícios podem denunciar um site espelho. As diferenças são, por vezes, mínimas, mas existem. Uma verificação atenta continua a ser um reflexo essencial.
Um comportamento anormal da conta após o início de sessão (mensagens enviadas, definições alteradas) deve também servir de alerta. Nessa situação, é fundamental agir de imediato.
As autoridades oficiais recordam que a vigilância humana continua a ser determinante. Em Portugal, o Centro Nacional de Cibersegurança (PT) publica regularmente recomendações práticas. No Brasil, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo – CTIR Gov (BR) divulga orientações de segurança digital. A Polícia Judiciária (PT) e a Polícia Federal (BR) recebem denúncias de crimes informáticos, enquanto a Consumidor.gov.br (BR) e a Portal do Consumidor (PT) informam sobre práticas comerciais enganosas.
Diversas medidas concretas podem reduzir o risco:
As empresas e administrações públicas devem igualmente formar as suas equipas sobre as novas formas de phishing em tempo real. A sensibilização continua a ser uma barreira essencial.
Se persistir qualquer dúvida após um início de sessão suspeito, recomenda-se alterar imediatamente os parâmetros de segurança da conta em causa. Tal inclui a revogação das sessões ativas e a redefinição dos métodos de autenticação.
Em seguida, é necessário monitorizar eventuais operações anómalas e contactar o serviço de apoio ao cliente oficial da plataforma. A apresentação de queixa junto das autoridades competentes contribui para limitar a propagação da fraude. Estão disponíveis conselhos complementares no nosso guia dedicado à prevenção de burlas digitais, nomeadamente no nosso artigo sobre as boas práticas para evitar burlas online.
As passkeys e a MFA representam um avanço significativo em matéria de segurança digital. Contudo, a engenhosidade dos burlões demonstra que a tecnologia, por si só, não basta. Os ataques por interceção de sessão em tempo real exploram sobretudo a confiança e a precipitação dos utilizadores.
Adotar reflexos simples, verificar cada pedido de autenticação e manter-se informado sobre novos métodos de burla continuam a ser indispensáveis. Para aprofundar o tema, consulte igualmente o nosso dossiê completo sobre os mecanismos das fraudes e os procedimentos a seguir em caso de burla.
Fraude Ou Fiável: A referência independente e gratuita dedicada à informação antifraude, à análise de práticas enganosas e à proteção dos consumidores contra os riscos online. A nossa equipa publica artigos, alertas e conteúdos pedagógicos para ajudar os utilizadores a identificar sinais de burla, compreender os mecanismos de fraude e adotar os reflexos corretos perante as burlas digitais.
O seu objetivo: contribuir para a prevenção de burlas, phishing, sites falsos, usurpação de identidade e manipulações comerciais online, propondo conteúdos claros, rigorosos e úteis, baseados na análise de sinais verificáveis, testemunhos e fontes fiáveis.
Avisos: As informações apresentadas neste blogue são fornecidas a título informativo e preventivo. Não constituem recomendações oficiais nem aconselhamento jurídico, financeiro ou técnico personalizado. Devem ser verificadas junto dos organismos, serviços ou interlocutores competentes, consoante a situação. Não somos responsáveis por erros, omissões ou utilização inadequada das informações disponibilizadas neste site. Se detetar alguma inexatidão, informe-nos.