Phishing no Microsoft 365: Ameaças e Proteções
Executivos de TI e especialistas em segurança cibernética devem estar atentos a uma nova onda de ataques de phishing direcionados a usuários do Microsoft 365. Essa técnica, que explora vulnerabilidades na autenticação, pode comprometer gravemente a segurança das informações corporativas.
O Phishing no Microsoft 365: Ataques focados no código do dispositivo
A Proofpoint, uma referência em soluções de segurança cibernética, alertou sobre uma crescente ameaça aos usuários do Microsoft 365. Os cibercriminosos estão utilizando a autenticação multifatorial (MFA) para obter códigos de dispositivos. Ao explorar falhas nesse processo, os atacantes conseguem convencer as vítimas a aprovar o acesso às suas contas corporativas, comprometendo a segurança das informações.
Como os atacantes executam esses ataques?
Os atacantes abusam dos fluxos de autorização do OAuth 2.0 da Microsoft, que permite que dispositivos e aplicativos acessem informações sem a necessidade de senha. A falha explorada reside na solicitação de aprovação do código de dispositivo, permitindo que o invasor assuma o controle de uma conta corporativa de forma eficiente.
Essa técnica representa uma mudança significativa nas ameaças cibernéticas, onde os cibercriminosos manipulam ferramentas de autenticação para obter acesso direto a sistemas corporativos. As campanhas de phishing frequentemente começam com e-mails que parecem legítimos, contendo links ou códigos QR que, ao serem acessados, permitem o acesso não autorizado.
O que torna esses ataques mais sofisticados?
A sofisticação desses ataques é aumentada pelo uso de ferramentas avançadas. Cibercriminosos utilizam kits de phishing, como o Graphish, amplamente disponíveis em fóruns de hackers, para criar páginas falsas de autenticação. Isso torna os ataques mais convincentes e difíceis de detectar, especialmente quando hospedados em infraestrutura controlada pelos próprios atacantes.
Exemplos de campanhas detectadas
Duas campanhas recentes de phishing relacionadas ao Microsoft 365 foram identificadas. A primeira focou em informações salariais, enquanto a segunda se disfarçou como um e-mail do governo da Zâmbia, direcionado a um funcionário de uma universidade americana. Ambas tinham como objetivo induzir as vítimas a clicar em links maliciosos ou escanear QR codes, levando-as a sites controlados pelos criminosos, onde eram solicitados a inserir códigos de acesso.
Como se proteger desse tipo de ataque?
Para proteger suas redes corporativas, é fundamental implementar políticas de segurança rigorosas, como o bloqueio de fluxos de código de dispositivo e a configuração de autenticação condicional. Ferramentas como o Acesso Condicional, que bloqueia a autenticação em dispositivos não confiáveis, são essenciais. Além disso, o treinamento dos funcionários para reconhecer e-mails fraudulentos é crucial para minimizar riscos.
Empresas que já enfrentaram ataques devem revisar constantemente os registros de login e monitorar padrões de tráfego de rede. O uso de ferramentas de análise de risco pode ajudar a detectar atividades suspeitas antes que causem danos significativos.
A importância de uma abordagem proativa
Com o aumento do uso de fluxos de autenticação OAuth, os ataques de phishing baseados em códigos de dispositivo se tornaram uma ameaça séria para as empresas. A combinação de técnicas sofisticadas de phishing e o abuso de processos de autenticação válidos criam um cenário onde os atacantes conseguem superar as defesas tradicionais de segurança.
As empresas devem adotar políticas de segurança robustas e promover o treinamento contínuo de suas equipes para reconhecer e reagir rapidamente a tentativas de phishing. Uma abordagem multidimensional é essencial para mitigar os riscos apresentados por essas ameaças emergentes.
Fonte por: Its Show