Tempo de leitura estimado: 3 minutos
Uma nova forma de fraude digital está a ganhar dimensão junto das empresas e organizações. Conhecida como “Device Code Phishing”, esta técnica distingue-se por utilizar códigos de autenticação legítimos e serviços oficiais para contornar as defesas tradicionais, tornando a deteção significativamente mais difícil.
O alerta foi lançado pela Prosegur Cybersecurity, que identificou um crescimento de 37 vezes deste tipo de ataque entre 2024 e 2026. A empresa considera que esta evolução representa uma mudança profunda no panorama das ameaças digitais e obriga as organizações a reforçarem os mecanismos de proteção da identidade digital.
Como funciona o Device Code Phishing
Ao contrário das campanhas de phishing convencionais, esta técnica não recorre a ficheiros maliciosos nem a ligações fraudulentas que os sistemas de segurança identificam facilmente.
Concretamente, os atacantes procuram convencer a vítima a introduzir um código legítimo numa página oficial de autenticação. A partir desse momento, conseguem obter acesso à conta corporativa através de serviços autênticos, sem recorrer a malware ou software suspeito. Esta abordagem permite ultrapassar muitas das soluções tradicionais de proteção instaladas nos equipamentos.
Persistência torna ataque mais perigoso
Segundo a análise da Prosegur Cybersecurity, um dos principais riscos está relacionado com a persistência do acesso obtido.
Além disso, após a autorização inicial, os atacantes podem manter o controlo da conta durante semanas ou meses através de permissões que permitem reativar sessões sem intervenção do utilizador. Em alguns casos, o acesso pode manter-se ativo mesmo após a alteração da palavra-passe.
Além disso, os processos utilizados funcionam de forma altamente automatizada. Assim, os criminosos conseguem analisar mensagens de correio eletrónico, extrair documentos, alterar regras de e-mail e criar novos acessos internos em poucos segundos. Esta capacidade acelera significativamente a propagação do ataque dentro das organizações.
Empresas devem reforçar controlo da identidade digital
Face a esta evolução, a Prosegur Cybersecurity defende que a proteção empresarial já não pode depender apenas de palavras-passe ou da deteção de software malicioso.
Por isso, a empresa recomenda uma supervisão contínua dos processos de autenticação, das permissões atribuídas aos utilizadores e das aplicações autorizadas dentro dos ambientes corporativos. Entre as medidas consideradas essenciais estão a auditoria regular dos acessos concedidos, a monitorização da criação de novas aplicações e a capacidade de revogar rapidamente autorizações comprometidas.
Crescimento da ameaça exige maior vigilância
Para Luís Martins, esta campanha representa uma mudança significativa na forma como os atacantes conduzem os ataques.
Neste sentido, o responsável explica que o objetivo já não é comprometer sistemas através de vulnerabilidades técnicas, mas sim explorar a confiança dos utilizadores e dos próprios mecanismos de autenticação utilizados pelas organizações. Por essa razão, considera fundamental reforçar a vigilância sobre a identidade digital e compreender a evolução desta ameaça para antecipar futuros riscos.
Artigos Relacionados
Related posts:
2026 poderá marcar a primeira vaga de ataques autónomos de ia no cibercrime
IA Hunter reforça plataforma xMDR da Cipher e acelera deteção de ciberameaças nas empresas
DECO PROteste e CMVM unem forças para travar a vaga de fraudes digitais em Portugal
ANSR leva segurança rodoviária à Comic Con Portugal 2026
ANSR reforça segurança dos peregrinos com ação em Fátima
