Para muitos usuários, a autenticação em dois fatores permanece um padrão de segurança, mas já não é um escudo absoluto. Criminosos estão a explorar um modelo de ataque que sequestra cookies de sessão por meio de um portal falso que se interpõe entre você e o site real. Com isso, o código de verificação deixa de ser um obstáculo e a sessão é validada como se tudo estivesse normal. O resultado é um acesso silencioso, contínuo e difícil de detectar.
O que os cookies de sessão revelam
Um cookie de sessão é um pequeno arquivo temporário que identifica seu navegador como autenticado enquanto você navega. Ele contém um identificador único que diz ao servidor que aquele acesso já passou pela verificação de credenciais e, quando existe 2FA, pelo segundo fator. Ao encerrar a sessão, fechar o navegador ou expirar o tempo no servidor, o cookie é invalidado e a proteção volta a ser exigida. Se esse token é copiado por terceiros, o invasor “herda” a sua autorização e age como se fosse você no serviço legítimo.
O ataque “no meio do caminho”
Cresce o uso de um framework de phishing avançado, como o Evilginx, para montar cenários de “adversary-in-the-middle” entre a vítima e o portal verdadeiro. Os criminosos erguem um domínio falso que se comporta como um proxy, encaminhando requisições ao serviço real e devolvendo respostas ao usuário. O conteúdo parece legítimo, com endereço convincente e até cadeado HTTPS, o que aumenta a confiança e mascara o risco. Por trás, o tráfego é espelhado, e tudo que você digita passa pelo servidor sob controle do atacante.
Como a fraude acontece na prática
O golpe começa com um link malicioso enviado por e‑mail, SMS ou mensagem em rede social, levando a um portal de login que replica o site autêntico. Você digita usuário e senha, e o proxy repassa os dados para o serviço real, que solicita o segundo fator. Ao inserir o código do SMS, e‑mail ou aplicativo, a validação ocorre no servidor legítimo e um novo cookie de sessão é gerado. Nesse instante, o portal intermediário captura o cookie, guarda uma cópia e devolve outra ao seu navegador, mantendo tudo aparentemente normal.
Com o cookie roubado importado no seu próprio browser, o invasor acessa a conta sem solicitar novo código, até que a sessão expire ou seja revogada. Nesse período, ele pode ler e‑mails, alterar parâmetros de segurança, movimentar dinheiro ou extrair dados sensíveis. A operação ocorre sem gerar alertas visíveis, pois o servidor acredita que a sessão já está autenticada.
“A defesa com múltiplos fatores continua essencial, mas ataques que sequestram a sessão mostram que a segurança depende do contexto e da verificação do canal, não apenas do código.”
Por que é tão difícil perceber
Para a vítima, tudo parece legítimo, já que o login final acontece no site verdadeiro. O cadeado está lá, a interface é a mesma e o segundo fator foi corretamente digitado. A discrepância só aparece depois, quando surgem transações fraudulentas ou mudanças de segurança não solicitadas. Como o golpe copia apenas o cookie, não há arquivos estranhos no computador nem pop-ups suspeitos.
O que realmente reduz o risco
Não existe proteção perfeita, mas há medidas que diminuem muito a superfície de ataque e elevam o custo para o invasor:
- Prefira chaves de segurança físicas compatíveis com FIDO2/WebAuthn, que validam o domínio e são resistentes a phishing.
- Digite o endereço no navegador em vez de clicar em links de e‑mail, SMS ou mensagens inesperadas.
- Verifique o domínio com atenção, inclusive subdomínios, caracteres parecidos e erros de grafia.
- Ative alertas de login e notificações para novas sessões, dispositivos e localizações.
- Revogue regularmente todas as sessões ativas nas configurações da conta e faça login novamente.
- Habilite políticas de tempo de sessão e revalidação para ações de alto risco, como transferências.
- Use um gerenciador de senhas que preencha apenas em sites confiáveis e detecte domínios falsos.
- Considere navegação isolada ou perfis separados para acesso a serviços críticos.
2FA continua vital, com ajustes
A autenticação multifator ainda é um pilar indispensável, principalmente quando combinada com métodos resistentes a phishing. Códigos via SMS e e‑mail são melhores que nada, mas chaves físicas e prompts que validam o domínio elevam a proteção a outro patamar. Empresas podem adicionar verificação de contexto — como origem do IP, perfil de risco e sinais de anormalidade — para exigir reautenticação em ações sensíveis. Para usuários, a higiene digital diária continua sendo a barreira mais eficaz contra truques que exploram pressa, confiança e rotina.
No fim, a lição é clara: segurança não é um evento, é um processo que exige atenção ao canal e ao contexto da autenticação. Ao reduzir a dependência exclusiva de códigos e validar quem fala com quem na web, você fecha a porta que esses ataques tentam abrir no meio do caminho.