Tecnologia

Golpe com apps OAuth dribla MFA e invade contas corporativas da Microsoft

Foto de negociohoje@gmail.com negociohoje@gmail.com22 horas atrás
0 0 1 minuto de leitura

Uma campanha de phishing recém-documentada explora aplicativos Microsoft OAuth e redirecionamentos ocultos para assumir o controlo de contas corporativas, mesmo quando protegidas por autenticação multifator (MFA). A técnica foi detalhada pela empresa de cibersegurança Proofpoint num relatório publicado em 31 de julho.

Como o ataque é conduzido

O golpe começa com uma conta de e-mail comprometida que envia mensagens com pedidos de orçamento ou contratos aparentando legitimidade. Ao clicar no link integrado, a vítima é levada a uma página controlada pelos atacantes.

Nesse ambiente, surge o pedido de permissão para um aplicativo OAuth fraudulento, que solicita acesso ao perfil da Microsoft. Mesmo que o utilizador recuse, o fluxo prossegue: um desafio CAPTCHA é exibido, seguido por uma página falsa de verificação em duas etapas.

O site falsificado recolhe o código de MFA, associa o token de acesso ao cookie de sessão e concede aos invasores entrada direta na conta. A fase de roubo de cookies utiliza a ferramenta de Phishing-as-a-Service Tycoon, permitindo contornar proteções adicionais.

Impacto observado em 2025

Segundo a Proofpoint, cerca de 3 000 contas distribuídas por mais de 900 ambientes Microsoft 365 foram alvo deste método ao longo de 2025. Metade das tentativas resultou em invasão bem-sucedida, indicador considerado elevado pelos analistas.

Golpe com apps OAuth dribla MFA e invade contas corporativas da Microsoft - Imagem do artigo

A empresa alerta que os agentes de ameaça estão a priorizar a identidade do utilizador como vetor principal, com o phishing adversary-in-the-middle (AiTM) a ganhar espaço como padrão entre grupos criminosos.

Recomendações de mitigação

O relatório sugere:

  • Reforçar filtros contra e-mails maliciosos e URLS de phishing;
  • Rever periodicamente os aplicativos e dispositivos autorizados em contas corporativas;
  • Monitorizar acessos anómalos a recursos protegidos;
  • Promover treinamentos sobre riscos de MFA e funcionamento do OAuth;
  • Adotar chaves físicas compatíveis com FIDO como alternativa de autenticação.

A Proofpoint destaca que a combinação de engenharia social, abuso de protocolos e serviços de phishing prontos torna a campanha difícil de detetar, reforçando a necessidade de camadas de proteção e vigilância contínua em ambientes empresariais.

Foto de negociohoje@gmail.com negociohoje@gmail.com22 horas atrás
0 0 1 minuto de leitura
Foto de negociohoje@gmail.com

negociohoje@gmail.com

Artigos relacionados

GhostSpy: novo malware para Android vendido como serviço expõe dados no Brasil

2 dias atrás

Netflix lança episódio extra de Sandman centrado na Morte

2 dias atrás

Netflix lança “Perdido na Montanha” e revive caso real de sobrevivência de 1939

1 semana atrás

PS Store reduz preços de jogos de PS4 e PS5 em até 90%

2 dias atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo