Ataques de phishing de código de dispositivo, que abusam do fluxo **OAuth 2.0** Device Authorization Grant para sequestrar contas, aumentaram mais de 37 vezes este ano. Neste tipo de ataque, o agente de ameaça envia uma solicitação de autorização de dispositivo para um provedor de serviços e recebe um código, que é enviado à vítima sob vários pretextos. Em seguida, a vítima é enganada para inserir o código na página de login legítima, autorizando assim o dispositivo do atacante a acessar a conta por meio de tokens de acesso e atualização válidos. Esse fluxo foi projetado para simplificar a conexão de dispositivos que não possuem opções de entrada acessíveis (por exemplo, dispositivos IoT, impressoras, dispositivos de streaming e smart TVs).  *Fluxo de phishing de código de dispositivo. Fonte: **Push Security*** A técnica de phishing de código de dispositivo foi documentada pela primeira vez em 2020, mas a exploração maliciosa foi registrada alguns anos depois, e tem sido usada tanto por hackers patrocinados por estados quanto por atores com motivação financeira. Pesquisadores da **Push Security** observaram um aumento massivo no uso desses ataques, alertando que eles foram amplamente adotados por cibercriminosos. “No início de março (2026), observamos um aumento de 15x nas páginas de phishing de código de dispositivo detectadas por nossa equipe de pesquisa este ano, com múltiplos kits e campanhas sendo rastreados — com o kit agora identificado como **EvilTokens** sendo o mais proeminente. Esse número agora subiu para 37,5x.” - Push Security No início desta semana, a empresa de detecção e resposta a ameaças **Sekoia** publicou pesquisas sobre a operação de phishing-as-a-service (PhaaS) **EvilTokens**. Os pesquisadores destacam que é um exemplo proeminente de um kit de phishing que “democratiza” o phishing de código de dispositivo, tornando-o acessível a cibercriminosos de baixa qualificação. A Push concorda que o EvilTokens tem sido um grande impulsionador da adoção mainstream da técnica, mas observa que existem várias outras plataformas competindo no mesmo mercado, que podem se tornar mais proeminentes caso as forças policiais desmantelem o EvilTokens: 1. **VENOM** - Um kit PhaaS de código fechado oferecendo capacidades de phishing de código de dispositivo e AiTM. Seu componente de código de dispositivo parece ser um clone do EvilTokens. 2. **SHAREFILE** - Um kit com tema em transferências de documentos do **Citrix ShareFile**, usando endpoints de backend baseados em nós para simular o compartilhamento de arquivos e acionar fluxos de código de dispositivo. 3. **CLURE** - Um kit usando endpoints de API rotativos e um gate anti-bot, com iscas temáticas de **SharePoint** e infraestrutura de backend na **DigitalOcean**. 4. **LINKID** - Um kit utilizando páginas de desafio da **Cloudflare** e APIs auto-hospedadas, usando iscas temáticas de **Microsoft Teams** e **Adobe**. 5. **AUTHOV** - Um kit hospedado em workers.dev usando entrada de código de dispositivo baseada em pop-up e iscas de compartilhamento de documentos da **Adobe**. 6. **DOCUPOLL** - Um kit hospedado em **GitHub Pages** e workers.dev que imita fluxos do **DocuSign**, incluindo réplicas injetadas de páginas reais. 7. **FLOW_TOKEN** - Um kit hospedado em workers.dev usando infraestrutura de backend da **Tencent Cloud**, com iscas temáticas de RH e **DocuSign** e fluxos baseados em pop-up. 8. **PAPRIKA** - Um kit hospedado em **AWS S3** usando páginas de login do **Microsoft** clonadas com branding do **Office 365** e um rodapé falso da **Okta**. 9. **DCSTATUS** - Um kit minimalista com iscas genéricas de “Acesso Seguro” do **Microsoft 365** e marcadores de infraestrutura visíveis limitados. 10. **DOLCE** - Um kit hospedado em **Microsoft PowerApps** com iscas temáticas da **Dolce & Gabbana**, provavelmente uma implementação única ou estilo red-team em vez de amplamente utilizada. Deve-se notar que, além do Venom e EvilTokens, os nomes dos outros kits de phishing foram dados por pesquisadores da Push para rastrear a atividade maliciosa. A Push Security também publicou um vídeo mostrando como o kit DOCUPOLL funciona. O agente de ameaça usa o branding do DocuSign e uma isca para um suposto contrato, pedindo à vítima para fazer login no aplicativo Microsoft Office. No total, existem pelo menos 11 kits de phishing oferecendo esse tipo de ataque a cibercriminosos, todos usando iscas realistas temáticas de SaaS, proteções anti-bot e abusando de plataformas de nuvem para hospedagem. Para bloquear ataques de phishing de código de dispositivo, a Push Security sugere que os usuários desabilitem o fluxo quando não for necessário, definindo políticas de acesso condicional em suas contas. Também é recomendado monitorar logs para eventos de autenticação de código de dispositivo inesperados, endereços IP incomuns e sessões.