Executivos de TI e especialistas em segurança estão atentos a uma nova onda de phishing voltada para usuários do Microsoft 365. A técnica foca na obtenção de códigos de dispositivos por meio de vulnerabilidades nos fluxos de autenticação multifator (MFA), com o objetivo de abrir passagem para contas corporativas.
A estratégia envolve o abuso dos fluxos de autorização do OAuth 2.0 da Microsoft. Ao explorar falhas na etapa de aprovação do código de dispositivo, os invasores podem induzir a vítima a aprovar o acesso às suas contas empresariais, recebendo o código diretamente no dispositivo utilizado, o que compromete a segurança das informações.
Segundo especialistas, essa abordagem representa uma mudança na cara das ameaças: em vez de focar apenas no roubo de senhas, os criminosos manipulam as próprias ferramentas de autenticação para obter entrada direta em sistemas. As campanhas costumam começar com mensagens de phishing que simulam comunicações legítimas, convidando o destinatário a clicar em links ou a escanear QR codes para conceder acesso.
A ofensiva ficou ainda mais sofisticada com o uso de kits de phishing de ponta, como o Graphish, amplamente distribuídos em fóruns de hackers. Esses kits ajudam a criar páginas falsas de autenticação, tornando os ataques mais convincentes. Em alguns casos, a infraestrutura de phishing fica sob controle dos próprios criminosos, o que dificulta a detecção precoce.
Entre os exemplos de campanhas identificadas, duas incidentes chamam a atenção: uma com abordagem voltada a informações salariais e outra que simulava um comunicado do governo da Zâmbia, direcionado a uma pessoa ligada a uma universidade americana. Em ambos os casos, os alvos eram induzidos a fornecer códigos de dispositivo ou inserir códigos recebidos em sites controlados pelos criminosos.
Para se defender, especialistas recomendam políticas de segurança mais rígidas, como o bloqueio de fluxos de código de dispositivo e a adoção de autenticação condicional. O Acesso Condicional, que impede a autenticação de dispositivos não confiáveis, é apontado como uma das defesas mais eficazes. Além disso, o treinamento de funcionários para reconhecer e-mails fraudulentos, a revisão constante de logs de login e o monitoramento de padrões de tráfego são medidas importantes. Ferramentas de análise de risco, fornecidas pela Microsoft e pela Proofpoint, podem ajudar a detectar atividades suspeitas antes que provoquem danos significativos.
Com a crescente adoção de fluxos de autenticação OAuth, ataques baseados em códigos de dispositivo têm ganhado relevância para a segurança corporativa. Combinar técnicas de phishing avançadas com o uso legítimo de processos de autenticação cria um cenário onde as defesas tradicionais ficam vulneráveis. A recomendação é adotar uma abordagem multidimensional de segurança, que combine tecnologia, treinamento contínuo e vigilância proativa para mitigar esse tipo de ameaça.
