Índice
Nos últimos meses, um método formidável de hacking tem atacado contas do Microsoft 365, explorando habilmente o fluxo OAuth para contornar senhas e autenticação multifator. Campanhas de phishing em larga escala utilizam essa técnica para acessar diretamente as contas dos usuários, questionando a segurança dos sistemas mais protegidos.
As 3 informações que você não pode perder
O fluxo OAuth é um mecanismo de autenticação comumente usado para autorizar aplicativos a acessar contas Microsoft, sem necessidade de senhas. Um código temporário é gerado, que o usuário deve inserir para validar essa autorização. Os cibercriminosos exploram essa funcionalidade enviando e-mails de phishing que parecem autênticos.
Esses e-mails contêm links que levam a páginas controladas pelos atacantes, imitando a aparência da organização alvo. Os usuários são então enganados, fazendo-os acreditar que estão validando uma autorização legítima, enquanto na verdade estão concedendo acesso à sua conta a um aplicativo malicioso.
As campanhas de phishing que exploram o fluxo OAuth usam mensagens que evocam assuntos comuns e atraentes, como documentos compartilhados ou bônus salariais. Essas mensagens podem fazer parte de trocas reais, aumentando assim sua credibilidade. As vítimas, ao inserir o código fornecido, concedem sem saber acesso completo à sua conta aos cibercriminosos.
A Proofpoint, uma empresa especializada em cibersegurança, observou um forte aumento nesses ataques, realizados por grupos conhecidos por sua expertise em phishing. O grupo TA2723, por exemplo, está envolvido nessas atividades desde o outono passado, visando setores sensíveis na Europa e nos Estados Unidos.
Para se proteger desses ataques, as organizações devem examinar de perto os acessos OAuth. É aconselhável limitar estritamente os aplicativos que têm acesso às contas, controlar os consentimentos já concedidos e restringir o uso dos fluxos de autorização por código aos contextos necessários. Auditorias regulares dos aplicativos autorizados também são recomendadas.
Os usuários, por sua vez, devem estar vigilantes e nunca inserir um código na interface Microsoft se não tiverem iniciado o processo de autorização. Qualquer solicitação relacionada a um documento, um bônus ou uma verificação de conta deve ser considerada com suspeita, mesmo que pareça vir de uma fonte legítima.
O Microsoft 365, anteriormente conhecido como Office 365, é um conjunto de serviços em nuvem que integra ferramentas de produtividade como Word, Excel e Teams. Desde seu lançamento, a plataforma se tornou um pilar para empresas e instituições em todo o mundo, tornando suas contas muito cobiçadas por cibercriminosos. Os ataques a essas contas evoluíram ao longo dos anos, passando de simples roubos de senhas a técnicas de phishing sofisticadas, como aquelas que usam o fluxo OAuth.
Os esforços para proteger o Microsoft 365 se intensificaram, especialmente com a integração da autenticação multifator e de políticas de acesso condicional. No entanto, a crescente sofisticação dos ciberataques destaca a necessidade de uma vigilância aumentada e de uma educação contínua dos usuários para prevenir comprometimentos de dados.