O que é PoisonSeed

Recentemente, foi identificada uma técnica de phishing avançado — chamada PoisonSeed — que burlar autenticação via FIDO2 (uso de chaves físicas). A campanha explora um recurso legítimo de WebAuthn (autenticação cruzada entre dispositivos), fazendo com que a camada MFA confiável seja comprometida de forma silenciosa.

Como funciona

1. O usuário recebe um e‑mail direcionando-o a um site falso que simula portais corporativos, como Okta ou Microsoft 365. Após inserir login e senha, um servidor man-in-the-middle entra em ação, utilizando as credenciais no site real em tempo real.
2. Em vez de exigir uma FIDO2 física, o backend malicioso ativa o recurso de cross-device, que gera um QR code da sessão legítima.
3. Ao escanear esse QR no celular, o usuário, acreditando estar autenticando-se, na verdade aprova o login do atacante.

É um downgrade, não uma falha

Não houve exploração de bug no FIDO2 ou WebAuthn; os atacantes apenas utilizam um recurso intencionalmente previsto nessas tecnologias.

Consequências

• Ignora a exigência de interação física com chave FIDO, delegando esse passo ao celular via QR code — algo que o usuário tende a confiar cegamente.
• Destaca como mesmo sistemas considerados “à prova de phishing” requerem monitoramento de comportamento e contexto do jeito certo.

O que fazer agora / Como se proteger

Dica de prevenção

• Limite por localização geográfica: bloqueie ou exija verificação adicional para logins vindos de locais atípicos.
• Audite novas chaves FIDO: monitore registros de chaves desconhecidas e brands incomuns.
• Alterne a autenticação cruzada via Bluetooth: exigindo proximidade física do dispositivo, reduz-se riscos de QR remotos.

Prevenção / Boas práticas

O ataque PoisonSeed demonstra que inovar com MFA não elimina riscos — invasores buscam brechas nos processos, não nas tecnologias. Para fortalecer a segurança, é vital combinar autenticação robusta com políticas de monitoramento, treinamento e configurações restritivas.

Perguntas frequentes

O que é phishing PoisonSeed?

Phishing PoisonSeed é uma técnica avançada que contorna a autenticação FIDO2, explorando um recurso legítimo do WebAuthn.

Como funciona o ataque PoisonSeed?

O ataque envolve um e-mail que direciona o usuário a um site falso, onde suas credenciais são capturadas e um QR code é gerado para aprovar o login do atacante.

Quais são as consequências do ataque PoisonSeed?

As consequências incluem a eliminação da necessidade de interação física com a chave FIDO, o que pode levar a um falso senso de segurança por parte dos usuários.

Como posso me proteger contra ataques de phishing?

Algumas medidas incluem limitar logins por localização geográfica, auditar novas chaves FIDO e alternar a autenticação cruzada via Bluetooth.

O que devo fazer se suspeitar de um ataque de phishing?

Se você suspeitar de um ataque, deve reportar imediatamente, mudar suas senhas e revisar as configurações de segurança de suas contas.