Uma campanha de phishing acaba de chamar a atenção dos especialistas em cibersegurança por conseguir contornar a **autenticação multifator (MFA) do Microsoft 365**. O golpe explora o fluxo de autorização de dispositivos (OAuth 2.0 Device Code) para enganar funcionários, sequestrar tokens de acesso e abrir a porta para que invasores leiam e-mails no Outlook, baixem arquivos do OneDrive e espionem reuniões no Teams. A ameaça já mira, principalmente, empresas e profissionais da América do Norte, mas o método pode chegar a qualquer organização que utilize o pacote Microsoft 365.
Como o golpe acontece, passo a passo
1. O criminoso envia um e-mail com assunto atraente — pagamento de bônus, nota fiscal eletrônica, caixa postal de voz, entre outros.
2. A mensagem contém um link legítimo do Microsoft 365 e um “código de autorização seguro”.
3. Ao clicar, a vítima é redirecionada para a verdadeira página de login da Microsoft e, confiando na legitimidade, digita o código.
4. Esse código, contudo, corresponde a um device previamente registrado pelo invasor. O resultado é a liberação de um **token OAuth** que dá controle total da conta corporativa ao atacante, sem disparar alertas de MFA.
O grande trunfo está na sensação de segurança: o usuário vê “microsoft.com” no navegador e acredita estar fazendo tudo corretamente, quando, na prática, está adicionando o dispositivo do hacker à organização.
Por que o golpe dribla a MFA?
O fluxo Device Code foi pensado para facilitar o login em aparelhos sem teclado — como smart TVs conectadas à Netflix — e, no ecossistema Microsoft, também permite registrar impressoras, scanners e softwares de terceiros. Nesse processo, **o token passa a ser a “chave mestra”**, dispensando interação adicional ou novo desafio de MFA. Portanto, mesmo empresas que exigem 2FA podem continuar expostas se não controlarem quais apps podem usar esse recurso.
Histórico: a evolução dos ataques com OAuth
• 2015: o grupo Pawn Storm (APT28) já explorava OAuth em campanhas dirigidas.
• 2020: a própria Microsoft alertou para o “consent phishing”, focado em solicitar permissões excessivas a apps maliciosos.
• 2024: ataques ressurgem com força, aproveitando a popularização do MFA para driblar exatamente o que deveria proteger o usuário.
Medidas de defesa imediatas
1. Restrinja a lista de apps autorizados
Administradores podem usar o Azure/Entra para criar allowlists. Assim, apenas aplicativos pré-aprovados conseguem pedir tokens OAuth.
2. Desative o Device Code Flow, se possível
No Microsoft Entra, é possível bloquear totalmente esse método. Exige mais etapas de login, mas eleva a segurança.
Imagem: Howard Solom
3. Audite integrações e permissões
Faça inventário de todas as conexões SaaS e verifique se realmente precisam de acesso. Integrações antigas costumam manter privilégios amplos por anos.
4. Treinamento contínuo
Simulações de phishing que copiam esse formato ajudam funcionários a identificar pedidos de login atípicos — mesmo em domínios legítimos.
Segurança prática para o usuário final
Além das políticas corporativas, vale investir em fatores de autenticação físicos, como chaves FIDO2. Dispositivos como a YubiKey 5 NFC ou a Feitian BioPass (ambas disponíveis na Amazon Brasil) adicionam uma camada adicional e impedem que tokens roubados sejam reutilizados sem o hardware presente.
Conclusão: o que isso significa para você e para sua empresa?
A adoção maciça de MFA elevou o nível de proteção, mas também motivou cibercriminosos a buscar brechas nos próprios mecanismos de confiança — como o Device Code. Se a sua organização usa Microsoft 365, **não basta exigir autenticação em duas etapas**; é essencial gerenciar tokens, revisar integrações e educar usuários constantemente. Do contrário, seus dados mais valiosos estarão a um único “código de seis dígitos” de distância dos invasores.
Com informações de Computerworld
