Obrigatório ler: Onda de ataques de phishing atinge usuários do Microsoft 365
A onda de ataques de phishing visa usuários do Microsoft 365 com uma técnica inovadora que explora vulnerabilidades na autenticação multifatorial (MFA). Essa ameaça, detectada pela Proofpoint, uma das líderes em soluções de segurança cibernética, visa convencer as vítimas a aprovar o acesso às suas contas corporativas através de um código enviado para o dispositivo, comprometendo a segurança das informações.
A técnica utilizada pelos cibercriminosos envolve o abuso dos fluxos de autorização OAuth 2.0 da Microsoft, um sistema que permite que dispositivos e aplicativos autorizados acessem informações sem precisar de senha. A falha explorada pelos atacantes reside na solicitação de aprovação do código de dispositivo, o que permite que o invasor assuma o controle de uma conta corporativa de forma eficiente. Esse método é mais sofisticado do que os roubos tradicionais de senhas, pois os cibercriminosos agora buscam manipular as próprias ferramentas de autenticação para obter acesso direto a sistemas corporativos.
As campanhas de phishing começam com e-mails que parecem legítimos, oferecendo links ou códigos QR para o destinatário escanear e, assim, permitir o acesso não autorizado. Os cibercriminosos agora recorrem a kits de phishing avançados, como o Graphish, que são amplamente distribuídos em fóruns de hackers. Esses kits são usados para criar páginas falsas de autenticação, tornando o ataque mais convincente e difícil de detectar.
Recentemente, duas campanhas de phishing relacionadas ao Microsoft 365 foram detectadas. A primeira utilizou uma abordagem voltada para informações salariais, enquanto a segunda fingia ser um e-mail do governo da Zâmbia, direcionado a um indivíduo que trabalhava em uma universidade americana. Em ambos os casos, o objetivo era induzir os alvos a clicar em links maliciosos ou escanear QR codes, levando-os a sites controlados pelos criminosos, onde eram solicitados a inserir códigos de acesso únicos para seus dispositivos.
Para proteger suas redes corporativas, especialistas recomendam a implementação de políticas de segurança rigorosas, incluindo o bloqueio de fluxos de código de dispositivo ou a configuração de autenticação condicional. O uso de ferramentas como o Acesso Condicional, que bloqueia a autenticação em dispositivos não confiáveis, é uma das medidas de defesa mais eficazes. Além disso, é crucial que os funcionários sejam treinados para reconhecer e-mails fraudulentos e tentativas de phishing, minimizando o risco de comprometimento.
A combinação de técnicas de phishing sofisticadas e o abuso de processos de autenticação válidos cria um cenário onde os atacantes conseguem superar as defesas tradicionais de segurança. As empresas devem ser proativas na implementação de políticas de segurança mais robustas, que envolvam não apenas o uso de tecnologias de defesa, mas também o treinamento contínuo de suas equipes para reconhecerem e agirem rapidamente diante de tentativas de phishing. Somente com uma abordagem multidimensional será possível mitigar os riscos apresentados por essas ameaças emergentes.
