Um esquema de phishing recentemente analisado por uma empresa de cibersegurança demonstra como aplicações OAuth da Microsoft podem ser manipuladas para obter acesso a contas corporativas, mesmo quando a autenticação multifator (MFA) está ativa. A campanha conjuga redirecionamentos ocultos, engenharia social refinada e roubo de cookies de sessão para assumir o controlo de perfis empresariais no Microsoft 365.
Etapas do golpe
O ataque inicia-se com o envio de e-mails a partir de contas já comprometidas. As mensagens apresentam temas comuns em ambientes de negócios, como pedidos de orçamento ou revisões contratuais, a fim de parecerem legítimas. Nos textos, um link conduz a vítima a um domínio controlado pelos criminosos.
Ao aceder à página, o utilizador depara-se com um pedido de consentimento para uma aplicação OAuth que aparenta ser fiável. Este passo segue o fluxo oficial do protocolo OAuth 2.0: o utilizador é encaminhado para o servidor de autorização da Microsoft e, depois de autenticar, é convidado a conceder permissões ao aplicativo. A diferença está na finalidade: a aplicação foi criada pelos atacantes e solicita acesso ao perfil e às caixas de correio da organização.
Quando o acesso é autorizado, emite-se um token que permite aos invasores atuar em nome do utilizador dentro do Microsoft Graph e de outros serviços associados. A vítima é então redirecionada para um desafio CAPTCHA e, em seguida, para uma página falsa de verificação em duas etapas. Nesta página, o código MFA fornecido pela vítima é capturado e associado ao cookie de sessão, etapa que garante persistência mesmo após o encerramento da sessão inicial.
O fluxo malicioso prossegue mesmo que o utilizador recuse o pedido de permissões. O CAPTCHA e a página clone da Microsoft continuam a ser apresentados, numa tentativa secundária de recolher credenciais. A tarefa de roubar e reutilizar cookies é automatizada por uma plataforma Phishing-as-a-Service (PhaaS) conhecida como Tycoon, que facilita a replicação da campanha por diferentes grupos criminosos.
Alvo principal e números do ataque
Dados recolhidos ao longo de 2025 indicam que cerca de três mil contas distribuídas por mais de 900 inquilinos do Microsoft 365 foram visadas. Metade das tentativas resultou em comprometimento, o que realça a eficácia do modelo adversary-in-the-middle (AiTM) quando combinado com aplicações OAuth fraudulentas.
As organizações afectadas pertencem a múltiplos sectores, incluindo finanças, saúde e serviços profissionais. Os cibercriminosos concentram-se em perfis com elevados privilégios ou acesso a dados sensíveis, visando movimentos laterais dentro da infraestrutura empresarial e futuras campanhas de comprometimento de correio eletrónico (BEC).
Imagem: tecmundo.com.br
Por que o OAuth é explorado
O protocolo OAuth 2.0 foi concebido para simplificar o acesso a recursos protegidos sem exigir a partilha directa de credenciais. No ecossistema Microsoft, esse padrão é amplamente usado por serviços como SharePoint, Teams e OneDrive. A confiança gerada por aplicações OAuth, aliada à eliminação de sucessivos logins, faz com que muitos utilizadores concedam permissões sem verificar minuciosamente a legitimidade do pedido.
Além disso, os tokens emitidos pelo servidor de autorização podem possuir períodos de validade prolongados. Quando interceptados, garantem acesso contínuo independentemente de alterações de palavra-passe ou de sessões MFA subsequentes, dificultando a detecção e a revogação imediata pelo departamento de TI.
Recomendações de mitigação
A empresa responsável pela análise destaca várias práticas para reduzir o risco deste tipo de incidente:
- Fortalecer os filtros de correio eletrónico para bloquear mensagens com domínios suspeitos ou padrões de engenharia social.
- Rever periodicamente a lista de aplicações e dispositivos autorizados nas contas corporativas, revogando tokens desnecessários.
- Monitorizar acessos anómalos em serviços protegidos, recorrendo a alertas baseados em localização geográfica, horário e volume de dados.
- Formar os colaboradores sobre o funcionamento do OAuth, a importância de analisar cada pedido de permissões e os limites da MFA.
- Considerar chaves de autenticação física compatíveis com o padrão FIDO, reduzindo o impacto de ataques AiTM que dependem de códigos temporários.
À medida que os agentes de ameaça evoluem para contornar medidas de segurança tradicionais, a identidade digital continua a ser o vetor preferencial para comprometer ambientes empresariais. A conjugação de engenharia social sofisticada e abuso de protocolos autorizadores reforça a necessidade de estratégias de defesa em profundidade e de revisão constante das políticas de acesso.
Olá! Meu nome é Zaira Silva e sou a mente inquieta por trás do soumuitocurioso.com.
Sempre fui movida por perguntas. Desde pequena, queria saber como as coisas funcionavam, por que o céu muda de cor, o que está por trás das notícias que vemos todos os dias, ou como a tecnologia está transformando o mundo em silêncio, aos poucos. Essa curiosidade virou meu combustível — e hoje, virou um blog inteiro.