A evolução dos golpes digitais chegou a um ponto em que até mesmo mecanismos tradicionais de proteção, como códigos de autenticação, já não são garantia de segurança. Logo no início, é importante deixar claro que o phishing avançado 2FA BitB representa uma nova fronteira de ataques, capaz de enganar usuários experientes e infiltrar-se em ambientes corporativos altamente protegidos. Esse tipo de ataque mostra que a autenticação multifator, embora crucial, não está imune ao aperfeiçoamento constante das técnicas de engenharia social.
Neste artigo, exploramos duas das estratégias mais sofisticadas que vêm ganhando tração no submundo do cibercrime, o Sneaky 2FA, um serviço profissional de phishing que utiliza a técnica Browser in the Browser (BitB) para imitar janelas de login da Microsoft, e o ataque Passkey Pwned, que demonstra que até mesmo as chaves de acesso, consideradas o futuro da autenticação sem senha, podem ser comprometidas. O objetivo deste guia é fornecer uma análise completa, acessível e prática, tanto para usuários comuns quanto para profissionais de TI e Segurança.
À medida que o mercado de Phishing como Serviço (PhaaS) se profissionaliza, essas ferramentas permitem que criminosos de qualquer nível técnico executem ataques antes restritos a grupos altamente especializados. Entender essas técnicas e saber se defender delas tornou-se uma prioridade urgente para qualquer pessoa responsável por proteger contas empresariais ou pessoais.
O kit Sneaky 2FA: Quando o phishing aprende a imitar o navegador
O Sneaky 2FA representa um divisor de águas no panorama do phishing 2FA, pois eleva o nível de sofisticação dos ataques ao incorporar técnicas capazes de contornar mecanismos de autenticação em duas etapas. Este kit é oferecido como um serviço PhaaS, o que significa que qualquer criminoso pode assinar o pacote, personalizar as páginas falsas e iniciar ataques altamente eficazes com um esforço mínimo.
O Sneaky 2FA busca não apenas coletar credenciais, mas também interceptar códigos temporários gerados por apps de autenticação e SMS, permitindo acesso imediato à conta comprometida. Isso cria um ciclo de ataque mais rápido, silencioso e eficiente. Um dos grandes diferenciais do kit é sua integração com a técnica de Browser in the Browser (BitB), o que eleva a taxa de sucesso ao simular interfaces genuínas de login sem que a vítima perceba a fraude.
Ao operar em conjunto com verificações de bot, como Cloudflare Turnstile, o Sneaky 2FA consegue ainda reduzir a detecção automática por sistemas anti-abuso, escapando de proteções comuns usadas por empresas para bloquear tráfego malicioso.
A técnica BitB: Falsificando a barra de endereço para roubar contas Microsoft
A técnica Browser in the Browser (BitB) é uma das armas mais perigosas dentro do arsenal do phishing avançado 2FA BitB, porque explora algo que até usuários avançados tendem a considerar confiável, a barra de endereço e a aparência nativa de pop-ups de autenticação. Em vez de invadir o navegador, o BitB cria uma janela falsa completamente construída em HTML e CSS, imitando com perfeição pop-ups legítimos de login da Microsoft, Google ou outras plataformas populares.
Nessa janela falsa, elementos como logotipo, favicon, URL com cadeado, botão de fechar e até sombras da borda são replicados, enganando o usuário com uma precisão surpreendente. O criminoso controla todo o conteúdo exibido, inclusive a URL, que pode mostrar algo como https://login.microsoftonline.com sem que isso reflita o endereço real do site visitado.
Quando o usuário insere seus dados na janela falsa, o kit captura a credencial em tempo real e a envia a um servidor controlado pelo atacante, que imediatamente repassa as informações ao login legítimo. Assim, o criminoso se posiciona como intermediário entre vítima e serviço, capturando também códigos 2FA enviados logo em seguida.
Por fim, ao submeter o fluxo a verificações como Cloudflare Turnstile, o kit simula tráfego legítimo, evitando bloqueios automáticos e dificultando ainda mais a identificação da fraude. Isso reduz a chance de que sistemas de defesa corporativa marquem o tráfego como suspeito, tornando o ataque ainda mais furtivo.
A ameaça Passkey Pwned: O ataque que ignora chaves de acesso
Com a expansão do suporte às chaves de acesso (passkeys), muitos acreditaram que este novo padrão resolveria definitivamente os problemas presentes em métodos tradicionais de autenticação. No entanto, o ataque conhecido como Passkey Pwned mostra que, embora robustas, as passkeys não são invulneráveis.
Esse ataque depende da instalação de uma extensão maliciosa no navegador, que age como intermediária silenciosa entre a interface de autenticação e a API WebAuthn responsável pela geração e uso das chaves. Essa extensão sequestra as chamadas para métodos como navigator.credentials.create() e navigator.credentials.get(), permitindo que o criminoso gere um par de chaves adicional ou controle o processo de autenticação.
Em vez de impedir a autenticação, o atacante cria um segundo conjunto de credenciais que ele próprio controla. Dessa forma, ele obtém acesso remoto à conta, sem precisar pedir senha, sem precisar pedir código 2FA, e sem disparar alertas evidentes para o usuário.
O risco do downgrade de autenticação
Outro ponto crítico relacionado ao ataque Passkey Pwned e a kits como Sneaky 2FA e Tycoon é o chamado downgrade de autenticação. Aqui, o criminoso força o usuário a abandonar métodos fortes de autenticação, como passkeys ou apps de autenticação, e a utilizar alternativas mais fracas, como SMS ou até códigos enviados por e-mail.
Ao interceptar o fluxo de login e simular comportamentos de erro, esses kits manipulam o usuário a reenviar credenciais mais vulneráveis, criando um cenário em que o atacante aumenta as chances de capturar a autenticação de backup. Esse mecanismo é especialmente perigoso em ambientes corporativos, onde os invasores buscam acessar dados sensíveis, painéis administrativos ou contas de alto privilégio.
Estratégias de defesa: Protegendo-se do phishing de próxima geração
Com a sofisticação crescente de ataques como phishing avançado 2FA BitB e Passkey Pwned, somente boas práticas básicas já não são suficientes. É necessário adotar uma abordagem mais estratégica, começando por conscientização e medidas de segurança em múltiplas camadas.
Dicas cruciais para o usuário final
Usuários comuns são frequentemente o alvo principal desse tipo de ataque, pois representam o elo mais fraco na cadeia de segurança. Algumas ações podem reduzir drasticamente o risco de comprometimento.
Sempre desconfie de pop-ups de login que parecem surgir do nada. Pop-ups nativos do navegador têm um comportamento específico, como capacidade de serem movidos e uma barra de título que segue o padrão do sistema operacional. Pop-ups falsos criados via HTML não têm esse comportamento natural.
Monitore regularmente as extensões instaladas em seu navegador. Extensões com baixo número de usuários, permissões excessivamente amplas ou origem duvidosa representam um risco significativo. Uma única extensão maliciosa pode comprometer passkeys ou capturar credenciais de forma silenciosa.
Verifique a barra de endereço real, não apenas a janela de login. Mesmo com técnicas como BitB, a aba do navegador sempre revelará o domínio legítimo. Se a aba principal não pertence ao serviço que você está tentando acessar, interrompa imediatamente a ação.
Ative alertas de segurança adicionais na sua conta, como notificações de login e bloqueio de acesso a partir de locais desconhecidos. Essas medidas não impedem a fraude, mas ajudam na detecção rápida.
Adoção de segurança corporativa
Empresas precisam adotar estratégias mais robustas, capazes de mitigar ataques em larga escala. O uso de políticas de acesso condicional é uma das melhores formas de impedir logins suspeitos, mesmo quando credenciais são comprometidas.
O acesso condicional permite criar regras como exigir autenticação forte, verificar a reputação do dispositivo, avaliar a localização do login ou bloquear tentativas que não atendam a políticas corporativas. Dessa forma, mesmo com credenciais válidas em mãos, muitos invasores serão barrados antes de conseguir comprometer dados internos.
Além disso, investir em ferramentas de monitoramento de extensões e configurações do navegador ajuda a impedir a instalação de itens maliciosos que poderiam ser usados em ataques do tipo Passkey Pwned.
Treinamentos constantes e campanhas de conscientização também são essenciais. Em um cenário onde golpes como BitB evoluem rapidamente, equipes precisam estar preparadas para reconhecer sinais sutis de ataque.
Conclusão e o futuro da segurança baseada em identidade
A combinação entre Sneaky 2FA, técnicas BitB e ataques como Passkey Pwned demonstra claramente que a autenticação moderna está sendo desafiada de todos os lados. O cibercrime se tornou modular, automatizado e profissional, e a forma como lidamos com identidade e acesso precisa acompanhar essa evolução.
Mesmo tecnologias avançadas podem ser enganadas quando o usuário é manipulado. Por isso, a principal defesa continua sendo a combinação de educação, vigilância e ferramentas corporativas adequadas. Quanto mais entendemos o funcionamento desses ataques, mais preparados estamos para reconhecer sinais de fraude e agir rapidamente.
Se este conteúdo contribuiu para ampliar sua compreensão sobre o tema, compartilhe com colegas e amigos. E, acima de tudo, aproveite este momento para auditar as extensões instaladas no seu navegador. Essa simples ação pode impedir que golpes altamente sofisticados comprometam suas contas pessoais ou profissionais.
