Menu Mobile
Voltar ao início do blog

Como o phishing PoisonSeed contorna FIDO2: entenda e previna

Recentemente, foi identificada uma técnica de phishing avançado — chamada PoisonSeed — que burlar autenticação via FIDO2 (uso de chaves físicas). A campanha explora um recurso legítimo de WebAuthn (autenticação cruzada entre dispositivos), fazendo com que a camada MFA confiável seja comprometida de forma silenciosa 

  1. Como o ataque funciona

    • O usuário recebe um e‑mail direcionando-o a um site falso que simula portais corporativos, como Okta ou Microsoft 365. — Após inserir login e senha, um servidor man‑in‑the‑middle entra em ação, utilizando as credenciais no site real em tempo real 

    • Em vez de exigir uma FIDO2 física, o backend malicioso ativa o recurso de cross-device, que gera um QR code da sessão legítima 

    • Ao escanear esse QR no celular, o usuário, acreditando estar autenticando-se, na verdade aprova o login do atacante.

  2. É um downgrade, não uma falha

    • Não houve exploração de bug no FIDO2 ou WebAuthn; os atacantes apenas utilizam um recurso intencionalmente previsto nessas tecnologias 

  3. Consequências

    • Ignora a exigência de interação física com chave FIDO, delegando esse passo ao celular via QR code — algo que o usuário tende a confiar cegamente.

    • Destaca como mesmo sistemas considerados “à prova de phishing” requerem monitoramento de comportamento e contexto do jeito certo.

Dica de prevenção 

  • Limite por localização geográfica: bloqueie ou exija verificação adicional para logins vindos de locais atípicos.

  • Audite novas chaves FIDO: monitore registros de chaves desconhecidas e brands incomuns.

  • Alterne a autenticação cruzada via Bluetooth: exigindo proximidade física do dispositivo, reduz-se riscos de QR remotos 


O ataque PoisonSeed demonstra que inovar com MFA não elimina riscos — invasores buscam brechas nos processos, não nas tecnologias. Para fortalecer a segurança, é vital combinar autenticação robusta com políticas de monitoramento, treinamento e configurações restritivas.

💡 Se você quer soluções que vão além da tecnologia, a LC SEC pode ajudar. Conheça nossos serviços e garanta proteção completa para sua organização: lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

22 de Julho de 2025

Phishing com QR Codes e GitHub marcam nova onda de ataques em 2025
07 de Julho de 2025

Golpe usa nome dos Correios e anúncios do Google para fraudar usuários
23 de Junho de 2025

Novos funcionários são alvo preferencial de phishing - como proteger