password-security-guideINFO

As passkeys ainda podem sofrer phishing - durante o registo: o ataque de vishing do Entra (2026)

As passkeys resistem ao phishing no início de sessão, mas uma campanha de 2026 visa o registo: atacantes ligam a utilizadores do Microsoft 365 e fazem-nos registar uma passkey controlada pelo atacante. Como funciona e como não cair.

Por Eric Gerard · Editor · PwdFortress4 min de leituraPhoto via Pexels

As passkeys são a melhor defesa do dia a dia contra o phishing quando inicia sessão: não há palavra-passe para roubar, e a credencial está ligada ao site real, por isso uma página de início de sessão falsa não captura nada de útil. Mas uma campanha revelada em 2026 mostra para onde se moveu o ponto fraco. Os atacantes não combatem o início de sessão - visam o registo: ligam a utilizadores do Microsoft 365 e fazem-nos registar uma passkey que o atacante controla. Eis como funciona, e como não cair.

Como funciona o ataque

Segundo a BleepingComputer, um agente malicioso tem ligado a utilizadores do Microsoft 365 - phishing por voz, ou vishing - desde abril de 2026, fazendo-se passar por TI ou segurança e instando-os a registar uma nova passkey do Entra "para melhor proteção". Para vender o engano, a vítima é direcionada para um kit de phishing que imita o fluxo de registo autêntico da Microsoft, operado a partir de um painel controlado pelo atacante que guia o alvo passo a passo e se adapta ao método multifator que usa.

O resultado é a armadilha: a vítima acredita que regista uma passkey na sua própria conta, enquanto o atacante regista na verdade uma passkey que ele controla. A Okta, que rastreia o agente como O-UNC-066 (uma operação de extorsão a que chama Pink), reportou o mesmo grupo a visar organizações de alimentação e bebidas, tecnologia, saúde, automóvel, construção e aviação.

Uma pessoa preocupada numa chamada telefónica em frente a um portátil - os ataques de vishing começam com uma chamada inesperada que o empurra a agir depressa.
Uma pessoa preocupada numa chamada telefónica em frente a um portátil - os ataques de vishing começam com uma chamada inesperada que o empurra a agir depressa.

Porque é que as passkeys não travam isto

Vale a pena ser preciso sobre o que as passkeys protegem. No início de sessão, uma passkey resiste ao phishing por conceção: a chave privada nunca sai do seu dispositivo e só funciona no domínio autêntico, por isso uma página de início de sessão copiada não tem nada para phishing. Este ataque não toca nisso.

O registo é outro momento. Aqui é-lhe pedido que adicione uma credencial, e o alvo é a decisão humana de avançar, não a criptografia. Se o convencerem a concluir um registo conduzido pelo atacante, a matemática funcionou perfeitamente - só registou a chave errada. É por isso que "resistente ao phishing" descreve o início de sessão, não um registo manipulado socialmente.

Uma mão a aprovar o desbloqueio de um telemóvel com uma impressão digital - o passo de registo, onde uma chamada de vishing tenta introduzir a passkey de um atacante.
Uma mão a aprovar o desbloqueio de um telemóvel com uma impressão digital - o passo de registo, onde uma chamada de vishing tenta introduzir a passkey de um atacante.

A reviravolta: abusa de uma funcionalidade real da Microsoft

O que torna o pretexto tão convincente é o momento. Em maio de 2026 a Microsoft deu aos administradores a capacidade de lançar campanhas de registo de passkeys - avisos legítimos que incentivam os utilizadores a registar uma passkey para uma autenticação mais forte. É uma melhoria genuína. Mas também significa que os colaboradores agora esperam que lhes peçam para configurar uma passkey, por isso uma chamada a dizer "precisamos que registe a sua passkey agora" já não soa estranha. Uma funcionalidade de segurança real tornou-se um disfarce já pronto.

Como se proteger

  • Nunca registe uma passkey por causa de uma chamada recebida. As equipas de TI reais não lhe telefonam para o guiar ao vivo no registo de uma credencial.
  • Registe apenas a partir de uma sessão que iniciou. Escreva o endereço oficial no navegador ou abra a app oficial você mesmo - não siga uma ligação nem uma instrução ditada por quem liga.
  • Verifique primeiro. Se receber uma chamada ou mensagem a dizer para registar uma passkey agora, confirme através de um canal interno conhecido antes de fazer seja o que for.
  • Administradores: monitorizem os registos de passkeys, alertem para credenciais recém-adicionadas e lembrem o pessoal de que os avisos de registo devem ser iniciados pelo utilizador, nunca concluídos ao vivo numa chamada não solicitada.

Também para as suas contas pessoais

A mesma lógica aplica-se fora do trabalho. Adicione uma passkey apenas quando você iniciou a ação na app autêntica, e mantenha as suas passkeys reais e códigos de dois fatores num local de confiança para saber sempre o que registou de facto. Uma chamada de vishing tem muito menos com que trabalhar quando você tem uma imagem clara das suas próprias credenciais.

Conclusão

As passkeys continuam a ganhar às palavras-passe, e deve continuar a usá-las - mas "resistente ao phishing" descreve o início de sessão, não o registo. A campanha de vishing do Entra lembra que o passo humano de adicionar uma credencial é o novo alvo. Nunca registe uma passkey porque alguém lhe ligou; apenas a partir de um fluxo que iniciou você mesmo.

Perguntas frequentes

As passkeys ainda são seguras após este ataque?

Sim, para iniciar sessão. Uma passkey é um par de chaves criptográficas ligado ao domínio real do site, por isso uma página de início de sessão falsa não consegue capturar nada reutilizável - essa parte resiste mesmo ao phishing. Esta campanha não quebra a criptografia. Visa outro momento: o passo de registo, onde uma pessoa é manipulada para registar a passkey de um atacante. A solução não é desconfiar das passkeys, mas ter cuidado com quando e como regista uma.

Como funciona o ataque de vishing às passkeys do Entra?

Segundo a BleepingComputer, um agente malicioso liga por telefone a utilizadores do Microsoft 365 (phishing por voz, ou vishing), fazendo-se passar por TI ou segurança, e insta-os a registar uma nova passkey do Entra. A vítima é direcionada para um kit de phishing que imita o registo real da Microsoft, com um operador a guiá-la em tempo real. Enquanto a vítima acredita que regista a sua própria passkey, o atacante regista uma passkey que ele controla - obtendo acesso persistente à conta.

Uma passkey pode sofrer phishing?

Não no início de sessão. Como a chave privada de uma passkey nunca sai do seu dispositivo e está ligada ao domínio autêntico, uma página de início de sessão falsa não tem nada para roubar. O que pode sofrer phishing é o registo: através de uma chamada de vishing e uma página de registo clonada, podem enganá-lo para adicionar uma credencial que pertence ao atacante. Por isso a frase honesta é que as passkeys resistem ao phishing no início de sessão, não num registo manipulado socialmente.

Como evito a fraude de registo de passkey?

Nunca registe nem aprove uma passkey por causa de uma chamada inesperada. As equipas de TI legítimas não lhe telefonam para o guiar ao vivo no registo de uma credencial. Registe uma passkey apenas a partir de uma sessão que iniciou, escrevendo o endereço oficial no navegador ou abrindo a app oficial. Se receber uma chamada ou mensagem a dizer para registar uma passkey agora, verifique primeiro através de um canal interno conhecido.

Porque é que este ataque se tornou possível agora?

Em maio de 2026 a Microsoft deu aos administradores uma funcionalidade para lançar campanhas de registo de passkeys - avisos legítimos que incentivam os utilizadores a registar passkeys para maior segurança. É uma boa mudança, mas também significa que os utilizadores agora esperam que lhes peçam para registar uma passkey, o que torna um pedido falso mais credível. Os atacantes aproveitam essa expectativa, transformando uma melhoria de segurança real num pretexto já pronto.