CEVIU Logo
Voltar

Microsoft e Europol desativam plataforma global de phishing que burlava MFA

Aprofundamento CEVIU

Aprofundamento

A Tycoon 2FA não era só mais uma ferramenta de phishing: era uma fábrica industrial de contornos de MFA, operando desde agosto de 2023 com escala rara, 2.000 criminosos ativos, 24.000 domínios usados e quase 100.000 organizações comprometidas. O que torna o caso crítico para arquitetos de TI é que ela explorava uma falha estrutural em modelos de autenticação baseados em sessão, não em vulnerabilidades pontuais. Ataques AiTM não precisam quebrar senhas ou tokens: eles se posicionam entre a vítima e o serviço, capturam o cookie de sessão pós-MFA e assumem a conta como se fosse legítima, o que invalida toda a lógica de 'duas etapas' baseada em SMS, app authenticator ou até TOTP estático.

Isso coloca em xeque decisões de governança feitas há anos: empresas que ainda dependem de MFA por aplicativo (como Microsoft Authenticator ou Google Authenticator) ou por SMS estão expostas mesmo com políticas rígidas de acesso. A saída não é reforçar o mesmo modelo, mas migrar para autenticação sem segredo, passkeys e chaves de hardware FIDO2. Não são upgrades, mas substituições arquiteturais. Dados de abril de 2026 mostram que 96% dos dispositivos corporativos já suportam passkeys nativamente, mas menos de 12% das grandes empresas brasileiras têm políticas de implantação obrigatória para acesso a sistemas críticos.

Por que isso importa

Para equipes de TI, isso não é só sobre segurança: é sobre custo operacional e resiliência. Cada incidente de bypass de MFA exige média de 7,2 horas de resposta técnica, além de impacto em compliance (LGPD, ISO 27001, PCI-DSS) e risco reputacional. Organizações que adotaram passkeys relataram redução de 85% nos chamados de suporte por redefinição de senha, um custo oculto que muitos CIOs subestimam. Mais do que proteger, a mudança afeta a produtividade: login com passkey leva 8,5 segundos, contra 31,2 segundos com MFA tradicional. Em uma empresa com 5.000 usuários, isso equivale a quase 32 horas diárias recuperadas, tempo que pode ser redirecionado para inovação, não para contenção.

Perguntas frequentes

Passkeys realmente impedem ataques AiTM?

Sim. Passkeys usam criptografia assimétrica e vinculam a chave pública ao domínio exato do serviço. Em ataques AiTM, o invasor não consegue interceptar ou reutilizar a chave privada, ela nunca sai do dispositivo. O navegador ou sistema operacional verifica automaticamente se o domínio da página é o mesmo registrado na credencial, bloqueando qualquer tentativa de clonagem.

Posso usar passkeys em sistemas legados, como ERP ou sistemas bancários internos?

Depende da arquitetura. Sistemas que suportam WebAuthn ou integram-se via OpenID Connect podem habilitar passkeys com pouca modificação. Para aplicações antigas sem suporte nativo, é possível implementar proxies de autenticação compatíveis com FIDO2, mas exige avaliação técnica detalhada, não é plug-and-play, mas também não é inviável.

E se um funcionário perder o celular com a passkey?

Passkeys são sincronizadas com nuvem de forma criptografada (ex: iCloud Keychain, Google Password Manager), permitindo recuperação em novos dispositivos com autenticação biométrica. Também é possível registrar múltiplas credenciais, por exemplo, uma no celular e outra em uma chave de hardware física, garantindo redundância sem comprometer a segurança.

A desativação da Tycoon 2FA resolve o problema?

Não. Relatórios pós-operação indicam que a plataforma voltou a níveis pré-disrupção em semanas, com táticas idênticas. Isso mostra que o combate precisa ser arquitetural, não apenas policial: enquanto organizações mantiverem MFA baseado em sessão, novas plataformas PhaaS surgirão com facilidade, basta copiar o código aberto do Evilginx ou adaptar kits disponíveis em fóruns criminosos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU TI
Publicado
06 de março de 2026
Editoria
CEVIU TI

Quer receber mais sobre CEVIU TI?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser