Ataques recentes têm usado telas de consentimento OAuth para obter refresh tokens válidos sem precisar de senha, fazendo com que usuários completem MFA em domínios legítimos enquanto entregam acesso contínuo a caixas de e-mail, drives e calendários; esse tipo de phishing por consentimento explora a naturalização do clique em consentimentos e a lacuna entre o texto das permissões e seu alcance real, criando riscos que não são detectados pelos controles tradicionais de identidade e que exigem visibilidade e revogação ao nível do token.
Um novo tipo de ataque tem explorado a janela de confiança aberta pelo fluxo de consentimento do OAuth.
Plataformas de phishing-as-a-service começaram a oferecer esquemas que orientam a vítima a autorizar um aplicativo legítimo e, assim, entregam tokens de atualização aos atacantes.
O resultado é que a autenticação e o desafio MFA acontecem no domínio legítimo e o invasor recebe um refresh token assinado que permite acesso continuado sem senha.
Esses tokens podem sobreviver a trocas de senha e só são interrompidos por revogação explícita ou políticas que forcem novo consentimento.
Chamam isso de phishing por consentimento ou abuso de concessão OAuth.
A diferença em relação ao phishing tradicional é que não há credenciais para reproduzir nem um evento de login que dispare os controles tradicionais de identidade.
O aumento do problema está ligado à normalização do clique em telas de consentimento: agentes de IA, integrações e extensões de navegador pedem acesso com frequência e os usuários acabam aprovando sem avaliar o alcance real.
Além disso, os nomes das permissões nem sempre deixam claro o que significa “Ler seu e-mail” ou “Acessar arquivos quando você não estiver presente” na prática.
Uma concessão isolada já é um ponto de entrada, mas o risco maior aparece quando várias concessões, aprovadas por um mesmo usuário, se combinam e permitem atravessar limites entre aplicações.
Esse fenômeno é descrito como combinações tóxicas, onde permissões aprovadas separadamente se conectam através de uma identidade e criam um vetor de ataque que nenhum dono de aplicação autorizou diretamente.
Problemas semelhantes já se materializaram em incidentes de larga escala, em que conectores comprometidos se espalharam por centenas de clientes via tokens OAuth legítimos.
Para reduzir o risco, é preciso olhar para o inventário de aplicações OAuth que mantêm refresh tokens, priorizar re-consentimento para concessões antigas e identificar identidades com concessões em múltiplas aplicações.
Também é importante aplicar políticas condicionais que reajam a eventos de consentimento, além de ter playbooks que revoguem tokens individualmente em vez de suspender apenas a conta do usuário.
Como as pontes entre aplicações existem num grafo que nenhum aplicativo individual controla, a disciplina processual tem alcance limitado se não houver uma visão contínua desse runtime.
Novas plataformas de segurança para IA e identidade mapeiam concessões em tempo real, detectam agentes e integrações, e permitem revogar acessos no nível do token.
Exemplos desse tipo de solução já surgem para dar visibilidade às conexões entre identidades humanas e não humanas e aos escopos que cada aprovação concede.
O phishing por consentimento tende a crescer enquanto a camada de consentimento continuar operando baseada mais em confiança do que em monitoramento e revogação contínuos.
