{"id":192,"date":"2026-06-22T08:59:22","date_gmt":"2026-06-22T08:59:22","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/22\/tycoon2fa-phishing-microsoft-365-2026\/"},"modified":"2026-06-22T09:00:41","modified_gmt":"2026-06-22T09:00:41","slug":"tycoon2fa-phishing-microsoft-365-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/22\/tycoon2fa-phishing-microsoft-365-2026\/","title":{"rendered":"Tycoon2FA: 64.000 Ataques a Microsoft 365, Derrubado em Mar\u00e7o, Voltou em Abril [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Em 4 de mar\u00e7o de 2026, uma coliga\u00e7\u00e3o de 12 empresas tecnol\u00f3gicas e ag\u00eancias de seguran\u00e7a de seis pa\u00edses europeus derrubou a maior plataforma de phishing-as-a-service (PhaaS) do mundo. A opera\u00e7\u00e3o confiscou 330 dom\u00ednios, desarticulou a infraestrutura de 2.000 utilizadores criminosos e interrompeu uma rede que tinha executado mais de 64.000 campanhas contra Microsoft 365 desde agosto de 2023. Vinte e nove dias depois, o Tycoon2FA voltou a operar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O regresso, confirmado a 2 de abril de 2026, n\u00e3o foi uma surpresa para os analistas de seguran\u00e7a que acompanhavam a plataforma. O que surpreendeu foi a velocidade da adapta\u00e7\u00e3o: a nova vers\u00e3o abandonou os m\u00e9todos de phishing convencionais e adotou um vetor de ataque baseado em fluxos de autoriza\u00e7\u00e3o OAuth 2.0, concretamente o mecanismo de <em>device code<\/em> da Microsoft. O ataque explora a interface leg\u00edtima de <code>microsoft.com\/devicelogin<\/code>, tornando os filtros de URL e os gateways de seguran\u00e7a de email praticamente in\u00fateis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-que-e-o-tycoon2fa-a-shopify-do-phishing\">O Que \u00e9 o Tycoon2FA: A &#8220;Shopify do Phishing&#8221;<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O Tycoon2FA surgiu em agosto de 2023 como uma plataforma PhaaS desenhada especificamente para contornar a autentica\u00e7\u00e3o de dois fatores (2FA) e a autentica\u00e7\u00e3o multifator (MFA). Ao contr\u00e1rio dos kits de phishing tradicionais, que apenas capturam credenciais est\u00e1ticas, o Tycoon2FA opera como um proxy reverso em tempo real, posicionado entre a v\u00edtima e o servidor leg\u00edtimo da Microsoft ou Google.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A t\u00e9cnica chama-se Adversary-in-the-Middle (AiTM). Quando a v\u00edtima insere as credenciais na p\u00e1gina falsa, o servidor do Tycoon2FA retransmite-as imediatamente para o servi\u00e7o real e captura o cookie de sess\u00e3o autenticado, incluindo o token MFA. O atacante fica com uma sess\u00e3o v\u00e1lida e n\u00e3o precisa da password, do c\u00f3digo de SMS nem da notifica\u00e7\u00e3o push. O MFA torna-se irrelevante.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Michiel Appelman, Principal Solutions Engineer da Cloudflare, descreveu o modelo de neg\u00f3cio numa sess\u00e3o do CyCon 2026: <strong>&#8220;Por 120 d\u00f3lares por m\u00eas, qualquer criminoso podia subscrever. N\u00e3o era necess\u00e1rio conhecimento t\u00e9cnico, nem infraestrutura. Era exatamente como subscrever um servi\u00e7o SaaS leg\u00edtimo.&#8221;<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Este modelo de neg\u00f3cio criminoso gerou <strong>quase 400.000 d\u00f3lares em transa\u00e7\u00f5es Bitcoin<\/strong> rastre\u00e1veis, segundo a an\u00e1lise citada no relat\u00f3rio da Cloud Security Alliance. O valor real ser\u00e1 significativamente superior, uma vez que muitos pagamentos foram feitos em criptomoedas n\u00e3o rastre\u00e1veis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cronologia-de-agosto-de-2023-ao-colapso-de-marco-de-2026\">Cronologia: De Agosto de 2023 ao Colapso de Mar\u00e7o de 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Para compreender a magnitude da opera\u00e7\u00e3o de mar\u00e7o de 2026, \u00e9 necess\u00e1rio contextualizar o crescimento exponencial da plataforma nos 31 meses anteriores.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Per\u00edodo<\/th><th>Marco<\/th><th>Dados<\/th><\/tr><\/thead><tbody><tr><td>Agosto 2023<\/td><td>Lan\u00e7amento do Tycoon2FA<\/td><td>Primeira plataforma PhaaS com bypass AiTM escal\u00e1vel<\/td><\/tr><tr><td>Janeiro 2025<\/td><td>Domin\u00e2ncia de mercado<\/td><td>89% dos incidentes PhaaS registados por fornecedores<\/td><\/tr><tr><td>Meados 2025<\/td><td>Pico de atividade<\/td><td>62% de todas as tentativas de phishing bloqueadas pela Microsoft<\/td><\/tr><tr><td>Agosto 2025<\/td><td>Campanha contra Salesforce<\/td><td>Ataque a 760 organiza\u00e7\u00f5es via tokens OAuth roubados<\/td><\/tr><tr><td>4 mar\u00e7o 2026<\/td><td>Opera\u00e7\u00e3o de derrube<\/td><td>330 dom\u00ednios confiscados, infraestrutura destru\u00edda<\/td><\/tr><tr><td>2 abril 2026<\/td><td>Ressurgimento<\/td><td>Nova infraestrutura operacional com vetor OAuth device code<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">No pico de opera\u00e7\u00e3o em meados de 2025, o Tycoon2FA representava sozinho <strong>62% de todos os ataques de phishing bloqueados pelos sistemas da Microsoft<\/strong> e <strong>89% de todos os incidentes PhaaS<\/strong> identificados pelos principais fornecedores de seguran\u00e7a em janeiro de 2025. Estes n\u00fameros tornam-no a plataforma de phishing mais dominante da hist\u00f3ria documentada do cibercrime.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"a-operacao-de-4-de-marco-de-2026-parceiros-e-resultados\">A Opera\u00e7\u00e3o de 4 de Mar\u00e7o de 2026: Parceiros e Resultados<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A opera\u00e7\u00e3o de derrube do Tycoon2FA foi a maior a\u00e7\u00e3o coordenada contra uma plataforma PhaaS at\u00e9 \u00e0 data. O Europol, atrav\u00e9s do seu Centro Europeu de Cibercrime (EC3), liderou a coordena\u00e7\u00e3o com a participa\u00e7\u00e3o da Microsoft Digital Crimes Unit (DCU) e de ag\u00eancias de lei de seis pa\u00edses europeus: Let\u00f3nia, Litu\u00e2nia, <strong>Portugal<\/strong>, Pol\u00f3nia, Espanha e Reino Unido.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Do lado privado, a opera\u00e7\u00e3o reuniu 12 organiza\u00e7\u00f5es tecnol\u00f3gicas e de seguran\u00e7a: Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, The Shadowserver Foundation, SpyCloud e TrendAI. A Cloudflare executou uma purga t\u00e9cnica dos Workers Projects associados \u00e0 infraestrutura e coordenou com a Microsoft um processo legal civil para confiscar dom\u00ednios em registradores em todo o mundo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Resultados da opera\u00e7\u00e3o:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>330 dom\u00ednios confiscados<\/strong> da infraestrutura central<\/li><li><strong>24.000 dom\u00ednios<\/strong> identificados e derrubados no total (incluindo staging)<\/li><li>Infraestrutura de Cloudflare Workers completamente eliminada<\/li><li>2.000 utilizadores criminosos ativos sem acesso ao servi\u00e7o<\/li><li>Registos de transa\u00e7\u00f5es Bitcoin analisados e partilhados com autoridades<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">A participa\u00e7\u00e3o de Portugal nesta opera\u00e7\u00e3o n\u00e3o \u00e9 acidental. Nos \u00faltimos 18 meses, os ataques de phishing a organiza\u00e7\u00f5es portuguesas registaram um aumento de 32% face \u00e0 m\u00e9dia europeia, segundo dados do relat\u00f3rio <a href=\"\/pt\/ciberataques-portugal-2026\/\">Ciberataques em Portugal 2026<\/a>. A Pol\u00edcia Judici\u00e1ria e o SIS coordenaram com o Europol a componente nacional da opera\u00e7\u00e3o.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"anatomia-tecnica-como-o-tycoon2fa-bypassa-o-mfa\">Anatomia T\u00e9cnica: Como o Tycoon2FA Bypassa o MFA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O funcionamento t\u00e9cnico do Tycoon2FA divide-se em tr\u00eas fases distintas. Compreender cada fase \u00e9 essencial para implementar contramedidas eficazes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"fase-1-entrega-e-engano\">Fase 1: Entrega e Engano<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">O ataque come\u00e7a com um email de phishing que cont\u00e9m uma URL de rastreamento da Trustifi, um servi\u00e7o leg\u00edtimo de email marketing. Esta escolha \u00e9 deliberada: os gateways de seguran\u00e7a de email n\u00e3o bloqueiam URLs de dom\u00ednios Trustifi leg\u00edtimos. Quando a v\u00edtima clica, percorre uma cadeia de quatro camadas de redirecionamento no browser antes de chegar \u00e0 p\u00e1gina de login falsa.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"fase-2-captura-em-tempo-real-aitm\">Fase 2: Captura em Tempo Real (AiTM)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">A p\u00e1gina de login falsa \u00e9 um proxy reverso do servidor real da Microsoft ou Google. Cada keystroke da v\u00edtima \u00e9 retransmitida em tempo real para o servidor leg\u00edtimo. Quando a v\u00edtima completa o login, incluindo o passo de MFA, o servidor Tycoon2FA captura o cookie de sess\u00e3o autenticado. O atacante agora tem acesso completo \u00e0 conta, sem nunca ter precisado da password original nem do c\u00f3digo MFA.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"fase-3-exfiltracao-e-persistencia\">Fase 3: Exfiltra\u00e7\u00e3o e Persist\u00eancia<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">As credenciais e os cookies de sess\u00e3o s\u00e3o exfiltrados imediatamente via bots de Telegram para o operador do ataque. Uma vez dentro da conta, o atacante pode modificar regras da caixa de entrada, registar novos autenticadores, delegar acesso a outras contas ou lan\u00e7ar campanhas de phishing a partir do endere\u00e7o comprometido, que tem reputa\u00e7\u00e3o limpa nos sistemas de filtragem.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-novo-vetor-de-ataque-oauth-2-0-device-code-abril-2026\">O Novo Vetor de Ataque: OAuth 2.0 Device Code (Abril 2026)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A vers\u00e3o que ressurgiu a 2 de abril de 2026 representa uma evolu\u00e7\u00e3o significativa na sofistica\u00e7\u00e3o. Em vez de criar p\u00e1ginas de login falsas, a nova variante explora o fluxo leg\u00edtimo de autoriza\u00e7\u00e3o OAuth 2.0 por <em>device code<\/em>, especificamente a interface <code>microsoft.com\/devicelogin<\/code> da pr\u00f3pria Microsoft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O ataque funciona da seguinte forma: o operador inicia um pedido de autentica\u00e7\u00e3o de device code no sistema da Microsoft e obt\u00e9m um c\u00f3digo de 8 caracteres. Este c\u00f3digo \u00e9 enviado \u00e0 v\u00edtima atrav\u00e9s de um email convincente. A v\u00edtima acede ao URL leg\u00edtimo da Microsoft, introduz o c\u00f3digo, e pensa estar a completar uma a\u00e7\u00e3o de seguran\u00e7a normal. Na realidade, est\u00e1 a autorizar o dispositivo do atacante a aceder \u00e0 sua conta.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O impacto desta mudan\u00e7a \u00e9 t\u00e9cnico mas profundo: os sistemas de seguran\u00e7a que procuram por dom\u00ednios maliciosos ou p\u00e1ginas de login falsas n\u00e3o detetam este ataque, porque toda a intera\u00e7\u00e3o acontece em dom\u00ednios leg\u00edtimos da Microsoft. Para saber mais sobre como o OAuth 2.0 funciona e os seus vetores de risco, consulte o guia sobre <a href=\"\/pt\/oauth2-nodejs-pkce\/\">OAuth 2.0 em Node.js com PKCE<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O relat\u00f3rio <a href=\"\/pt\/unit-42-relatorio-2026-ciberataques-72-minutos\/\">Unit 42 2026<\/a> j\u00e1 antecipava esta tend\u00eancia ao documentar que os atacantes reduzem continuamente o tempo entre comprometimento e exfiltra\u00e7\u00e3o de dados, passando de horas para minutos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"escala-global-64-000-campanhas-e-500-000-organizacoes\">Escala Global: 64.000 Campanhas e 500.000 Organiza\u00e7\u00f5es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Os n\u00fameros que definem o impacto do Tycoon2FA n\u00e3o t\u00eam precedente hist\u00f3rico para uma \u00fanica plataforma PhaaS:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>64.000 campanhas de phishing em grande escala<\/strong> desde agosto de 2023<\/li><li><strong>500.000 organiza\u00e7\u00f5es visadas<\/strong> mensalmente no pico de atividade<\/li><li><strong>96.000 v\u00edtimas distintas<\/strong> identificadas por IP \u00fanico<\/li><li><strong>55.000 clientes Microsoft<\/strong> diretamente afetados<\/li><li><strong>24.000 dom\u00ednios<\/strong> utilizados ao longo de 31 meses de opera\u00e7\u00e3o<\/li><li><strong>2.000 utilizadores criminosos<\/strong> com acesso ativo \u00e0 plataforma<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Para contextualizar: 500.000 organiza\u00e7\u00f5es por m\u00eas equivale a 6 milh\u00f5es de organiza\u00e7\u00f5es por ano. Se se assumir uma taxa de sucesso conservadora de 0,1%, isso representa 6.000 compromissos bem-sucedidos por ano provenientes apenas desta plataforma.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os setores mais afetados incluem educa\u00e7\u00e3o, sa\u00fade, finan\u00e7as, organiza\u00e7\u00f5es sem fins lucrativos e servi\u00e7os governamentais, com um foco particular em organiza\u00e7\u00f5es que utilizam Microsoft 365 como plataforma de email e colabora\u00e7\u00e3o. O Google Workspace foi tamb\u00e9m alvo regular da plataforma.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"comparacao-com-outros-kits-phaas-tycoon2fa-dominou-o-mercado\">Compara\u00e7\u00e3o com Outros Kits PhaaS: Tycoon2FA Dominou o Mercado<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Plataforma<\/th><th>Utilizadores<\/th><th>Dom\u00ednios<\/th><th>M\u00e9todo Principal<\/th><th>Pre\u00e7o<\/th><th>Estado<\/th><\/tr><\/thead><tbody><tr><td><strong>Tycoon2FA<\/strong><\/td><td>2.000<\/td><td>24.000+<\/td><td>AiTM proxy + OAuth device code<\/td><td>$120\/m\u00eas<\/td><td>Ativo (ressurgido abril 2026)<\/td><\/tr><tr><td><strong>EvilProxy<\/strong><\/td><td>Desconhecido<\/td><td>Milhares<\/td><td>AiTM proxy reverso<\/td><td>$150-400\/m\u00eas<\/td><td>Ativo<\/td><\/tr><tr><td><strong>Caffeine<\/strong><\/td><td>Desconhecido<\/td><td>Centenas<\/td><td>Infraestrutura de phishing<\/td><td>Vari\u00e1vel<\/td><td>Ativo, reduzido<\/td><\/tr><tr><td><strong>RaccoonO365<\/strong><\/td><td>Desconhecido<\/td><td>Centenas<\/td><td>Phishing Microsoft 365<\/td><td>Vari\u00e1vel<\/td><td>Reduzido<\/td><\/tr><tr><td><strong>Modlishka<\/strong><\/td><td>Open source<\/td><td>Por inst\u00e2ncia<\/td><td>Proxy reverso manual<\/td><td>Gratuito<\/td><td>Ativo (ferramenta)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">A tabela mostra porque raz\u00e3o o Tycoon2FA dominou o mercado: pre\u00e7o competitivo combinado com escala e facilidade de uso. Os concorrentes, como o EvilProxy, s\u00e3o mais caros e com menos funcionalidades automatizadas. O RaccoonO365, focado exclusivamente em Microsoft 365, foi amplamente substitu\u00eddo pelo Tycoon2FA que oferece capacidades mais amplas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A natureza phishing-as-a-service democratizou os ataques sofisticados. At\u00e9 2023, contornar o MFA exigia conhecimentos t\u00e9cnicos avan\u00e7ados e infraestrutura pr\u00f3pria. O Tycoon2FA reduziu essa barreira para 120 d\u00f3lares e um endere\u00e7o de email.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-ressurgimento-de-abril-2026-licoes-para-as-organizacoes\">O Ressurgimento de Abril 2026: Li\u00e7\u00f5es para as Organiza\u00e7\u00f5es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O facto de o Tycoon2FA ter voltado a operar 29 dias ap\u00f3s a maior opera\u00e7\u00e3o de derrube da hist\u00f3ria do PhaaS ilustra um problema estrutural no combate ao cibercrime: a destrui\u00e7\u00e3o de infraestrutura sem pris\u00f5es de operadores principais \u00e9 tempor\u00e1ria.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os analistas da Resecurity, um dos parceiros na opera\u00e7\u00e3o de mar\u00e7o, documentaram que a nova infraestrutura apresentou <strong>obfusca\u00e7\u00e3o significativamente mais agressiva<\/strong> do que as vers\u00f5es anteriores, com rota\u00e7\u00e3o de dom\u00ednios mais r\u00e1pida, uso extensivo de CDNs para mascarar a origem dos servidores e t\u00e9cnicas anti-an\u00e1lise para dificultar o trabalho de investigadores de seguran\u00e7a.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">David Sherrill, investigador s\u00e9nior de amea\u00e7as da SpyCloud, publicou ap\u00f3s a opera\u00e7\u00e3o: <strong>&#8220;Os takedowns s\u00e3o necess\u00e1rios e t\u00eam impacto real. Mas a verdade \u00e9 que os dados de milhares de contas comprometidas j\u00e1 est\u00e3o fora do controlo. O objetivo agora \u00e9 limitar o tempo de acesso das sess\u00f5es ativas.&#8221;<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Esta posi\u00e7\u00e3o \u00e9 partilhada pelos investigadores da Intel471, que publicaram an\u00e1lises mostrando que os cookies de sess\u00e3o capturados pelo Tycoon2FA continuam v\u00e1lidos mesmo ap\u00f3s a derrubada da plataforma, a menos que as organiza\u00e7\u00f5es forcem a invalida\u00e7\u00e3o de todas as sess\u00f5es ativas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"impacto-nas-organizacoes-portuguesas-o-que-mudou\">Impacto nas Organiza\u00e7\u00f5es Portuguesas: O Que Mudou<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Portugal foi um dos seis pa\u00edses que participou na opera\u00e7\u00e3o de mar\u00e7o de 2026, o que indica que autoridades portuguesas tinham acesso a informa\u00e7\u00e3o de intelig\u00eancia sobre v\u00edtimas nacionais. Embora os n\u00fameros espec\u00edficos de organiza\u00e7\u00f5es portuguesas afetadas n\u00e3o tenham sido divulgados publicamente, o padr\u00e3o de ataque do Tycoon2FA \u00e9 particularmente perigoso para o contexto empresarial portugu\u00eas por tr\u00eas raz\u00f5es:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Primeira: a penetra\u00e7\u00e3o do Microsoft 365 em PMEs portuguesas cresceu de 34% para 67% entre 2022 e 2026, segundo dados da APDSI. Esta depend\u00eancia cria uma superf\u00edcie de ataque enorme para plataformas PhaaS focadas na Microsoft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Segunda: a forma\u00e7\u00e3o de colaboradores em Portugal continua abaixo da m\u00e9dia europeia. O relat\u00f3rio CNCS 2025 indicou que apenas 23% das organiza\u00e7\u00f5es portuguesas realizaram simula\u00e7\u00f5es de phishing no \u00faltimo ano, contra 51% na m\u00e9dia da UE.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Terceira: muitas organiza\u00e7\u00f5es portuguesas ainda n\u00e3o implementaram pol\u00edticas de acesso condicional no Microsoft 365, que s\u00e3o a contramedida mais eficaz contra os ataques AiTM. A aus\u00eancia de controlo de sess\u00e3o baseado em risco torna as contas vulner\u00e1veis mesmo quando o utilizador tem MFA ativo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O contexto enquadra-se numa tend\u00eancia mais ampla documentada em Portugal. Os <a href=\"\/pt\/hackers-russos-whatsapp-signal-sis-alerta-2026\/\">ataques de atores estatais russos a funcion\u00e1rios portugueses via WhatsApp e Signal<\/a>, alertados pelo SIS, e os <a href=\"\/pt\/ciberataques-portugal-2026\/\">2.437 ciberataques semanais a organiza\u00e7\u00f5es portuguesas<\/a> mostram que o pa\u00eds est\u00e1 claramente na mira de atores avan\u00e7ados.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-modelo-de-negocio-criminal-120-por-mes-400-000-em-bitcoin\">O Modelo de Neg\u00f3cio Criminal: $120 por M\u00eas, $400.000 em Bitcoin<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A an\u00e1lise financeira do Tycoon2FA revela um modelo de neg\u00f3cio criminoso surpreendentemente eficiente. A plataforma oferecia acesso por <strong>120 d\u00f3lares por m\u00eas<\/strong>, com pacotes alternativos de acesso por per\u00edodo fixo. Os 2.000 utilizadores ativos geravam uma receita mensal potencial de 240.000 d\u00f3lares apenas em subscri\u00e7\u00f5es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">As an\u00e1lises de blockchain rastrearam <strong>quase 400.000 d\u00f3lares em transa\u00e7\u00f5es Bitcoin<\/strong> diretamente ligadas \u00e0 infraestrutura da plataforma, mas especialistas estimam que o total real seja entre 3 e 10 vezes superior, considerando o uso de mixers de criptomoedas, stablecoins privadas e pagamentos em Monero.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para as v\u00edtimas corporativas, o custo \u00e9 ordens de magnitude superior. Comprometimentos de Business Email Compromise (BEC) via contas Microsoft 365 roubadas custaram \u00e0s organiza\u00e7\u00f5es norte-americanas <strong>2,9 mil milh\u00f5es de d\u00f3lares em 2024<\/strong>, segundo dados do FBI IC3. Uma \u00fanica sess\u00e3o capturada pelo Tycoon2FA pode resultar em transfer\u00eancias fraudulentas de centenas de milhares de euros.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"analise-de-mercado-o-ecossistema-phaas-em-2026\">An\u00e1lise de Mercado: O Ecossistema PhaaS em 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O caso Tycoon2FA documenta a matura\u00e7\u00e3o do mercado PhaaS. Em 2019, preparar um kit de phishing com bypass MFA exigia semanas de trabalho t\u00e9cnico avan\u00e7ado. Em 2026, exige 120 d\u00f3lares e 10 minutos de registo numa plataforma criminal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os analistas da eSentire identificaram tr\u00eas caracter\u00edsticas que definem a segunda gera\u00e7\u00e3o de plataformas PhaaS como o Tycoon2FA: automa\u00e7\u00e3o do bypass MFA, infraestrutura de rota\u00e7\u00e3o r\u00e1pida para evadir bloqueios, e canais de distribui\u00e7\u00e3o de resultados em tempo real (tipicamente via Telegram). A primeira gera\u00e7\u00e3o de kits, como o Modlishka (2018), exigia que os atacantes gerissem manualmente cada sess\u00e3o. O Tycoon2FA automatizou este processo completamente.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Esta evolu\u00e7\u00e3o tem implica\u00e7\u00f5es diretas para a defesa. As tecnologias de MFA baseadas em SMS ou apps TOTP (como Google Authenticator) n\u00e3o oferecem prote\u00e7\u00e3o contra AiTM porque o proxy captura o token de MFA em tr\u00e2nsito. Apenas MFA resistente a phishing, como as chaves de seguran\u00e7a FIDO2 ou passkeys, elimina este vetor de ataque. Para perceber a diferen\u00e7a entre passkeys e passwords tradicionais em contexto de seguran\u00e7a, consulte a an\u00e1lise <a href=\"\/pt\/passkeys-vs-passwords\/\">Passkeys vs Passwords<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-detetar-e-prevenir-ataques-tycoon2fa\">Como Detetar e Prevenir Ataques Tycoon2FA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">As recomenda\u00e7\u00f5es das organiza\u00e7\u00f5es parceiras na opera\u00e7\u00e3o de mar\u00e7o convergem em seis \u00e1reas priorit\u00e1rias:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. MFA resistente a phishing (FIDO2 \/ Passkeys)<\/strong>: Chaves de seguran\u00e7a hardware como YubiKey ou passkeys integradas no sistema operativo s\u00e3o a \u00fanica contramedida que elimina o risco AiTM. O token de autentica\u00e7\u00e3o FIDO2 \u00e9 vinculado criptograficamente ao dom\u00ednio leg\u00edtimo, tornando imposs\u00edvel o relay por um proxy. Veja como implementar <a href=\"\/pt\/webauthn-nodejs-passkeys\/\">WebAuthn e Passkeys em Node.js<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. Pol\u00edticas de acesso condicional com controlo de sess\u00e3o<\/strong>: Configurar Microsoft Entra ID para rejeitar sess\u00f5es de IPs imposs\u00edveis, dispositivos n\u00e3o registados, e reautenticar sess\u00f5es que mudam de caracter\u00edsticas de rede. Limitar a dura\u00e7\u00e3o dos tokens de refresh para menos de 4 horas em contas de alto risco.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Auditoria e restri\u00e7\u00e3o de aplica\u00e7\u00f5es OAuth<\/strong>: Definir pol\u00edticas de aprova\u00e7\u00e3o administrativa para todas as aplica\u00e7\u00f5es OAuth de terceiros. Revogar periodicamente aplica\u00e7\u00f5es n\u00e3o utilizadas. Bloquear o fluxo OAuth de device code se a organiza\u00e7\u00e3o n\u00e3o o necessitar operacionalmente.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Forma\u00e7\u00e3o de colaboradores com simula\u00e7\u00f5es<\/strong>: Incluir cen\u00e1rios de device code phishing nas simula\u00e7\u00f5es de phishing regulares. Os utilizadores precisam de reconhecer pedidos leg\u00edtimos versus pedidos induzidos por atacantes no portal <code>microsoft.com\/devicelogin<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Monitoriza\u00e7\u00e3o de sess\u00f5es ativas<\/strong>: Implementar alertas para sess\u00f5es que persistem ap\u00f3s reset de password, logins de user agents invulgares, e sess\u00f5es que acedem a volumes anormais de dados em per\u00edodos curtos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. DMARC, SPF e DKIM em modo enforcement<\/strong>: Reduzir a capacidade dos atacantes de usar dom\u00ednios similares ao da organiza\u00e7\u00e3o para entrega de emails de phishing. A implementa\u00e7\u00e3o de DMARC em modo <code>p=reject<\/code> bloqueia a maioria dos ataques de spoofing de dom\u00ednio.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para organiza\u00e7\u00f5es em Portugal, o CNCS disponibiliza recursos adicionais e orienta\u00e7\u00f5es espec\u00edficas sobre implementa\u00e7\u00e3o de MFA resistente a phishing no \u00e2mbito da transposi\u00e7\u00e3o da NIS2, que exige medidas t\u00e9cnicas de autentica\u00e7\u00e3o robusta para operadores de servi\u00e7os essenciais.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"previsoes-o-que-esperar-do-tycoon2fa-e-do-phaas-ate-ao-final-de-2026\">Previs\u00f5es: O Que Esperar do Tycoon2FA e do PhaaS at\u00e9 ao Final de 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Com base na trajet\u00f3ria documentada do Tycoon2FA e nas tend\u00eancias do mercado PhaaS, os analistas de seguran\u00e7a antecipam cinco desenvolvimentos at\u00e9 ao final de 2026:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Previs\u00e3o 1: O Tycoon2FA integrar\u00e1 IA generativa para personaliza\u00e7\u00e3o de ataques.<\/strong> A pr\u00f3xima vers\u00e3o da plataforma usar\u00e1 modelos de linguagem para personalizar emails de phishing com base em dados p\u00fablicos do LinkedIn da v\u00edtima. Isto aumentar\u00e1 as taxas de clique de forma significativa.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Previs\u00e3o 2: A UE exigir\u00e1 MFA resistente a phishing para setores cr\u00edticos at\u00e9 ao Q4 2026.<\/strong> A ENISA j\u00e1 recomendou formalmente a ado\u00e7\u00e3o de FIDO2 para operadores de infraestrutura cr\u00edtica no \u00e2mbito da NIS2. Espera-se que pelo menos 8 Estados-membros transponham este requisito para legisla\u00e7\u00e3o nacional antes do fim do ano.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Previs\u00e3o 3: O fluxo OAuth de device code ser\u00e1 restringido pela Microsoft no segundo semestre de 2026.<\/strong> A Microsoft j\u00e1 sinalizou que ir\u00e1 adicionar controlos adicionais ao fluxo de device code no Microsoft Entra ID, tornando mais dif\u00edcil o abuso por parte de atacantes mas mantendo a funcionalidade leg\u00edtima para dispositivos sem browser.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Previs\u00e3o 4: Surgir\u00e3o 3 a 5 novos concorrentes do Tycoon2FA em 2026.<\/strong> O mercado PhaaS demonstrou ser lucrativo. A derrubada do Tycoon2FA criou uma lacuna de mercado que outros grupos criminosos est\u00e3o ativamente a preencher. Esperam-se novas plataformas com pre\u00e7os mais baixos e funcionalidades melhoradas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Previs\u00e3o 5: As organiza\u00e7\u00f5es portuguesas com NIS2 obrigat\u00f3ria ser\u00e3o as pr\u00f3ximas a ser visadas seletivamente.<\/strong> A obriga\u00e7\u00e3o de notifica\u00e7\u00e3o de incidentes da NIS2 torna as empresas visadas p\u00fablicas. Grupos criminosos podem direcionar ataques para organiza\u00e7\u00f5es que publicam relat\u00f3rios de incidentes, para identificar alvos com dados valiosos mas com capacidades de resposta ainda em matura\u00e7\u00e3o.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"historico-phishing-as-a-service-de-2019-a-2026\">Hist\u00f3rico: Phishing-as-a-Service de 2019 a 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O Tycoon2FA n\u00e3o surgiu do nada. Representa a terceira gera\u00e7\u00e3o de plataformas PhaaS, cada uma mais sofisticada que a anterior.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Em 2019, as primeiras plataformas PhaaS como o 16Shop ofereciam apenas p\u00e1ginas de phishing est\u00e1ticas de marcas como Apple e PayPal, por 60 a 150 d\u00f3lares. O bypass de MFA n\u00e3o existia porque era tecnicamente complexo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Em 2021-2022, surgiram plataformas de segunda gera\u00e7\u00e3o como o EvilProxy e o Modlishka, que implementaram proxy reverso mas ainda exigiam configura\u00e7\u00e3o t\u00e9cnica significativa por parte do atacante.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Em 2023, o Tycoon2FA inaugurou a terceira gera\u00e7\u00e3o: totalmente automatizado, com infraestrutura gerida pelo fornecedor, entrega de resultados via Telegram, e pre\u00e7o acess\u00edvel. O resultado foi a democratiza\u00e7\u00e3o completa dos ataques AiTM.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O pr\u00f3ximo passo prov\u00e1vel \u00e9 a integra\u00e7\u00e3o com ferramentas de reconhecimento automatizado e gera\u00e7\u00e3o de conte\u00fado com IA, reduzindo ainda mais a barreira de entrada para atacantes com zero conhecimento t\u00e9cnico.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cobertura-relacionada\">Cobertura Relacionada<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"leitura-recomendada\">Leitura Recomendada<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/pt\/hackers-russos-whatsapp-signal-sis-alerta-2026\/\">Hackers Russos Atacam WhatsApp e Signal: SIS Alerta Oficiais Portugueses [2026]<\/a><\/li><li><a href=\"\/pt\/autenticacao-dois-fatores-nodejs\/\">Autentica\u00e7\u00e3o de Dois Fatores em Node.js: 12 Passos [2026]<\/a><\/li><li><a href=\"\/pt\/webauthn-nodejs-passkeys\/\">WebAuthn em Node.js: Implementar Passkeys em 12 Passos [2026]<\/a><\/li><li><a href=\"\/pt\/oauth2-nodejs-pkce\/\">OAuth 2.0 em Node.js com PKCE: Autentica\u00e7\u00e3o Segura em 12 Passos [2026]<\/a><\/li><li><a href=\"\/pt\/passkeys-vs-passwords\/\">Passkeys vs Passwords: 8,5s vs 31s de Login [2026]<\/a><\/li><li><a href=\"\/pt\/unit-42-relatorio-2026-ciberataques-72-minutos\/\">Relat\u00f3rio Unit 42 2026: Ciberataques Roubam Dados em 72 Minutos<\/a><\/li><li><a href=\"\/pt\/ciberataques-portugal-2026\/\">Ciberataques em Portugal: 2.437\/Semana, +32% face \u00e0 M\u00e9dia da UE [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"perguntas-frequentes-sobre-tycoon2fa\">Perguntas Frequentes sobre Tycoon2FA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>O que \u00e9 o Tycoon2FA?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O Tycoon2FA \u00e9 uma plataforma de phishing-as-a-service (PhaaS) que fornecia a cibercriminosos um kit completo para contornar a autentica\u00e7\u00e3o de dois fatores (2FA) e MFA em contas Microsoft 365 e Google. Funcionava por subscri\u00e7\u00e3o mensal a partir de 120 d\u00f3lares e estava dispon\u00edvel para qualquer utilizador registado nos f\u00f3runs criminais onde era vendido.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>O Tycoon2FA conseguia mesmo contornar o MFA?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sim. A t\u00e9cnica AiTM (Adversary-in-the-Middle) usada pelo Tycoon2FA n\u00e3o tenta quebrar o MFA, mas captura a sess\u00e3o autenticada depois de o utilizador completar todos os passos de autentica\u00e7\u00e3o, incluindo o MFA. O resultado pr\u00e1tico \u00e9 que o MFA baseado em SMS, TOTP (apps como Google Authenticator) ou notifica\u00e7\u00f5es push n\u00e3o oferece prote\u00e7\u00e3o contra este tipo de ataque.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Como saber se fui v\u00edtima do Tycoon2FA?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os indicadores incluem logins em hor\u00e1rios ou locais incomuns no hist\u00f3rico de acesso da conta Microsoft 365, regras de inbox que n\u00e3o configurou, emails enviados que n\u00e3o reconhece, e delega\u00e7\u00f5es de acesso a contas externas. Rever o log de atividade em <code>myaccount.microsoft.com<\/code> \u00e9 o primeiro passo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>O MFA FIDO2 \/ Passkeys protege contra o Tycoon2FA?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sim, completamente. As chaves FIDO2 e passkeys vinculam criptograficamente o token de autentica\u00e7\u00e3o ao dom\u00ednio leg\u00edtimo. Quando um proxy AiTM tenta retransmitir o pedido de autentica\u00e7\u00e3o, o token \u00e9 inv\u00e1lido porque o dom\u00ednio n\u00e3o corresponde. \u00c9 a \u00fanica tecnologia de autentica\u00e7\u00e3o que elimina o risco de phishing AiTM.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>A opera\u00e7\u00e3o de mar\u00e7o de 2026 p\u00f4s fim ao Tycoon2FA?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">N\u00e3o. Embora a opera\u00e7\u00e3o tenha confiscado 330 dom\u00ednios e interrompido temporariamente as opera\u00e7\u00f5es, o Tycoon2FA voltou a operar a 2 de abril de 2026, 29 dias depois. Os operadores principais n\u00e3o foram presos, o que permitiu a reconstru\u00e7\u00e3o da infraestrutura. Os cookies de sess\u00e3o capturados antes do takedown continuam v\u00e1lidos at\u00e9 que as organiza\u00e7\u00f5es forcem a invalida\u00e7\u00e3o de todas as sess\u00f5es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>O que devem fazer as organiza\u00e7\u00f5es portuguesas agora?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Prioridade imediata: auditar todas as aplica\u00e7\u00f5es OAuth conectadas ao Microsoft 365, for\u00e7ar o registo de sess\u00f5es com acesso condicional baseado em risco, e implementar FIDO2 ou passkeys para contas administrativas e de alto risco. A m\u00e9dio prazo, incluir simula\u00e7\u00f5es de device code phishing nos programas de forma\u00e7\u00e3o de colaboradores e alinhar com os requisitos da NIS2 para autentica\u00e7\u00e3o robusta.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>O fluxo de device code OAuth \u00e9 intrinsecamente inseguro?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">N\u00e3o por si s\u00f3. O fluxo de device code tem utiliza\u00e7\u00e3o leg\u00edtima em dispositivos sem browser, como televis\u00f5es inteligentes, consolas de jogo, e equipamentos industriais. O problema surge quando os atacantes manipulam utilizadores para introduzirem c\u00f3digos device code fora do contexto leg\u00edtimo. A Microsoft est\u00e1 a trabalhar em controlos adicionais para distinguir usos leg\u00edtimos de abusos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Em 4 de mar\u00e7o de 2026, uma coliga\u00e7\u00e3o de 12 empresas tecnol\u00f3gicas e ag\u00eancias de seguran\u00e7a de seis pa\u00edses europeus derrubou a maior plataforma de phishing-as-a-service (PhaaS) do mundo. A\u2026<\/p>\n","protected":false},"author":3,"featured_media":193,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-192","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/comments?post=192"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/192\/revisions"}],"predecessor-version":[{"id":194,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/192\/revisions\/194"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media\/193"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media?parent=192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/categories?post=192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/tags?post=192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}