A técnica explora a função legítima de login entre dispositivos via QR Code
Uma campanha de phishing sofisticada, apelidada de PoisonSeed, tem levantado alertas no setor de cibersegurança por conseguir contornar o uso de chaves FIDO — consideradas uma das formas mais robustas de autenticação multifator disponíveis hoje. A técnica explora a função legítima de login entre dispositivos via código QR, um recurso presente em plataformas como Meta, Microsoft e Okta.
A descoberta foi feita pela empresa de segurança Expel, que atribuiu os ataques a um grupo de ameaças persistentes também chamado PoisonSeed, ativo desde abril de 2025, com foco em roubo de criptomoedas e campanhas de phishing altamente direcionadas.
Como o ataque utiliza o QR CODE
O ataque começa com a criação de páginas de login falsas que simulam domínios legítimos — uma tática conhecida como typosquatting. Ao inserir suas credenciais em uma dessas páginas, a vítima tem seus dados retransmitidos em tempo real a sites autênticos por meio de uma estrutura man-in-the-middle.
Na sequência, o serviço verdadeiro gera um código QR para login entre dispositivos, esperando que o usuário o escaneie com um dispositivo autenticado previamente. A vítima, enganada, escaneia o QR code falso, que concede acesso direto aos invasores — sem a necessidade da chave FIDO física.
“A técnica é inteligente porque explora o recurso legítimo de login entre dispositivos, que torna as chaves FIDO mais fáceis de usar”, comenta J. Stephen Kowski, CTO de Campo da SlashNext. “Os invasores agora estão contornando a autenticação forte em vez de tentar quebrá-la.”
Implicações para o setor cripto
Embora o ataque não comprometa os algoritmos criptográficos das chaves FIDO, ele explora falhas de usabilidade e comportamento dos usuários, o que representa um risco elevado especialmente para detentores de criptoativos. Ataques similares já resultaram em perdas milionárias, como o recente caso de roubo de US$ 37 milhões por meio de ataque de troca de SIM (SIM Swap).
A Expel detectou logins não autorizados em várias contas, mas não relatou movimentações financeiras imediatas. Ainda assim, a ameaça é latente e adaptável a outros segmentos sensíveis além do universo cripto.
Medidas de mitigação
Especialistas recomendam ações preventivas e corretivas, tais como:
- Educação do usuário sobre fraudes com QR code e phishing;
- Monitoramento avançado de logs de autenticação;
- Geofencing (restrição geográfica de login);
- Requisição de proximidade Bluetooth para validação entre dispositivos;
- Uso de soluções IAM (Gerenciamento de Identidade e Acesso) que contemplem ameaças emergentes.
No contexto do ataque sofisticado identificado como PoisonSeed, as soluções de Gerenciamento de Identidade e Acesso (IAM) assumem papel fundamental na mitigação dos riscos, mesmo quando tecnologias robustas como as chaves FIDO estão em uso.
Embora o ataque não comprometa diretamente os elementos criptográficos das chaves, ele explora brechas na experiência do usuário e no fluxo de autenticação entre dispositivos — uma área onde as plataformas de IAM podem atuar de forma estratégica.
Soluções modernas de IAM utilizam autenticação adaptativa baseada em contexto e risco, o que permite avaliar, em tempo real, variáveis como localização geográfica, dispositivo utilizado, horários atípicos e padrões comportamentais. Em situações como a observada na campanha PoisonSeed, um login via código QR escaneado a partir de um domínio malicioso poderia ser detectado e bloqueado automaticamente com base em políticas de autenticação previamente configuradas.
Sérgio Muniz, renomado especialista em gestão de identidade e acesso, comentou anteriormente em ocasiões similares que…
“Mesmo com métodos robustos como FIDO, é indispensável combinar inteligência contextual e análise de risco contínua. Políticas de autenticação e contexto não substituem as chaves físicas, mas as potencializam, oferecendo capacidade de identificar e bloquear o uso indevido de credenciais legítimas com base em comportamento, localização e padrões de uso.”
Além disso, o IAM pode aplicar camadas adicionais de proteção nos casos de autenticação entre dispositivos, exigindo, por exemplo, que haja proximidade física entre os dispositivos envolvidos — via Bluetooth ou conexão na mesma rede local — o que impediria a conclusão de ataques iniciados remotamente.
Outro aspecto relevante é a capacidade dessas plataformas em integrar-se a mecanismos de threat intelligence, o que permite identificar tentativas de login vindas de domínios typosquats ou páginas com características reconhecíveis de phishing. Ao detectar esse tipo de comportamento, o sistema pode impedir a entrega do QR code fraudulento ou alertar o usuário sobre riscos potenciais.
A visibilidade oferecida pelos sistemas IAM também é essencial para investigação e resposta a incidentes. Logs detalhados de acesso, incluindo método de autenticação, localização, dispositivo e horários, possibilitam que as equipes de segurança atuem com rapidez na identificação de acessos indevidos. Quando integrados a plataformas A integração de plataformas SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation, and Response esses dados contribuem ainda mais para a correlação de eventos e automação de respostas.
A campanha PoisonSeed deixa claro que a segurança digital precisa evoluir continuamente, mostrando que até mesmo sistemas considerados altamente confiáveis, como o FIDO, podem ser vulneráveis quando não há vigilância constante e boas práticas de uso. A integração entre tecnologia avançada, análise de contexto e educação do usuário é fundamental para barrar ataques que exploram recursos legítimos. Em um cenário cada vez mais sofisticado de ameaças, apenas a combinação de múltiplas camadas de proteção garante a resiliência necessária para proteger identidades e credenciais digitais.
Com informações de: SC Media, Hackread, SecurityWeek
Eventos globais reacendem o debate sobre autenticação digital. FIDO Vs PKI
OSS Rebuild: O Google Reconstrói o Código Aberto Para Combater Ameaças à Cadeia de Suprimentos
As lições aprendidas com o maior ataque hacker já registrado contra o sistema financeiro nacional
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
IAM: Segurança que vai além do acesso
O Crypto ID, referência editorial em tecnologia e segurança digital, mantém uma coluna especializada em IAM – Identity and Access Management (Gerenciamento de Identidade e Acesso). Mais do que apresentar soluções, nossa curadoria mergulha nas múltiplas vertentes dessa disciplina essencial — como IAG, PAM, CIAM, CIEM, MFA, SSO, RBAC, ABAC, entre outras variações que compõem o ecossistema de identidade digital.
Voltada para profissionais que estão estudando ou implementando essas estratégias, a coluna oferece uma visão técnica, confiável e abrangente, sempre alinhada às melhores práticas do mercado. O foco é claro: interoperabilidade, maturidade e adequação às necessidades reais de cada ambiente corporativo.
Nossa Coluna IAM é riquíssima em conteúdo e insights que fazem diferença.
Estar no CRYPTO ID é mostrar sua marca para quem precisa proteger dados e identidade e sabe que investir em cibersegurança é essencial no mundo digital. Somos a mídia número um em soluções de tecnologia voltadas para identificação humana e não humana (NHIs). Entregamos muito mais que visibilidade: entregamos contexto, conteúdo e credibilidade. Nossa equipe atua em parceria com sua área de marketing e negócios, conectando a estratégia de comunicação da sua empresa para os melhores resultados de vendas.
Fale com a gente: +55 11 9 9286 7046 ou contato@cryptoid.com.br
