Novo Kit Malicioso Ameaça Contas da Microsoft
Um kit conhecido como EvilTokens está circulando, permitindo que hackers sequestren contas da Microsoft sem precisar das senhas das vítimas. Esse ataque foi descoberto por especialistas da Sekoia, que detalharam como a combinação de técnicas de phishing avançadas e automação está sendo utilizada em compromissos de e-mail corporativo.
O EvilTokens é vendido pelo Telegram e requer nenhum conhecimento técnico do comprador. O responsável pelo kit sinaliza planos de expandir o suporte para phishing que visa contas do Gmail e serviços de gestão de identidade, como a Okta.
Como Funciona o Golpe
A isca frequentemente utilizada é um documento aparentemente inócuo, enviado por e-mail, que pode ser um arquivo PDF, DOCX ou até um SVG. Os links ou códigos QR contidos nesses arquivos redirecionam a vítima a páginas de phishing disfarçadas, que simulam serviços legítimos como o Adobe Acrobat ou DocuSign.
Depois de seguir o link, o atacante proporciona uma interação que culmina na vítima acessando a página real de login da Microsoft, onde, sem perceber, ela concede a autorização necessária.
Aproveitando uma Brecha no Protocolo OAuth 2.0
O núcleo do ataque está na exploração de uma falha no fluxo de autorização do protocolo OAuth 2.0, projetado para facilitar o acesso a serviços online de dispositivos que não possuem teclado. O criminoso utiliza um aplicativo legítimo da Microsoft para gerar um código de dispositivo e, em seguida, induz a vítima a inserir esse código, dando ao invasor acesso ao email, arquivos e interações em serviços da Microsoft.
A Escala do Problema
Embora técnicas semelhantes de phishing já sejam conhecidas, o que distingue o EvilTokens é a automação e a sua oferta como serviço, tornando o ataque mais acessível a uma gama maior de criminosos. Países como Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos já registraram vítimas.
Como se Proteger
A interação da vítima é essencial para o sucesso desse golpe. Portanto, a conscientização é crucial. Algumas dicas incluem:
- Desconfie de e-mails que solicitam validações de identidade por meio de links ou QR codes, mesmo que pareçam legítimos.
- Esteja atento a solicitações envolvendo códigos de dispositivo da Microsoft, que são raramente usadas em contextos normais.
Acompanhe a TecMania para mais atualizações sobre cibersegurança e tecnologia. Inscreva-se em nossa newsletter e canal para ficar sempre informado.