

Passkeys sob ataque: quando a chave mais segura vira a porta dos hackers
Segundo o BoletimSec, cibercriminosos encontraram uma nova brecha para invadir contas corporativas do Microsoft 365, e o pior: a porta de entrada é justamente aquela tecnologia que deveria nos protege...
Márcio Petito
CEO da M3Solutions com mais de 20 anos de experiência em tecnologia e segurança
Segundo o BoletimSec, cibercriminosos encontraram uma nova brecha para invadir contas corporativas do Microsoft 365, e o pior: a porta de entrada é justamente aquela tecnologia que deveria nos proteger. Falo das passkeys, as chaves de acesso que prometem acabar com o inferno das senhas. A campanha, atribuída ao grupo conhecido como UNC066 ou Pink, mostra que engenhosidade não falta para o lado errado da força.
O golpe é tão simples quanto perigoso. Os atacantes telefonam para funcionários se passando por equipes de suporte técnico. Durante a ligação, conduzem a vítima até uma página falsa que imita fielmente o fluxo legítimo de cadastro de passkeys no Microsoft Entra. O colaborador, achando que está apenas configurando um recurso de segurança, acaba registrando uma chave de acesso controlada pelo criminoso. A partir daí, o invasor tem passe livre para o ambiente corporativo.
Por que a tecnologia mais segura virou alvo
Aqui entra uma reflexão importante. Passkeys são, sem dúvida, mais seguras que senhas tradicionais. Elimina-se o risco de vazamento em bancos de dados, de reutilização de credenciais e de ataques de força bruta. O problema nunca foi a tecnologia em si, mas o elo humano que fica no meio do processo.
Os criminosos entenderam algo que muita empresa ainda ignora: não adianta blindar a fechadura se você consegue convencer o dono da casa a entregar a chave voluntariamente. É a velha engenharia social vestindo roupa nova, agora explorando um processo legítimo e ainda pouco conhecido pelos usuários comuns.
O que me preocupa de verdade é que muitos funcionários sequer sabem o que é uma passkey ou como funciona seu cadastro. Essa lacuna de conhecimento é o combustível perfeito para golpes desse tipo. Quando o usuário não entende o fluxo normal, fica impossível para ele identificar o momento em que algo está errado.
O que sua empresa pode fazer agora
Não é hora de abandonar as passkeys, muito pelo contrário. É hora de fortalecer o entorno. Algumas medidas práticas ajudam bastante:
- Treinamento contínuo: ensine a equipe a reconhecer contatos falsos de suporte. Nenhuma equipe legítima pede para você cadastrar chaves durante uma ligação inesperada.
- Políticas claras de comunicação: deixe explícito quais canais o suporte usa e como validar a identidade de quem liga.
Mais tags em Segurança
Precisa de ajuda com TI para sua empresa?
Fale com nossos especialistas e receba uma consultoria gratuita.
FALAR AGORA
