Você já sentiu aquele frio na espinha ao receber um convite do Microsoft Teams? Imagine descobrir que é um golpe russo sofisticado! Neste post, vamos desvendar uma campanha de phishing que está roubando tokens de acesso de governos e empresas em todo o mundo. Prepare-se para descobrir como esses ataques funcionam e como se proteger.
Ataques de Phishing via Microsoft Teams: Uma Ameaça Real
Golpistas digitais, possivelmente ligados ao Kremlin, estão enviando convites falsos para reuniões do Microsoft Teams. O objetivo? Obter seus tokens de autenticação. Isso concede acesso a e-mails, dados na nuvem e informações confidenciais. Essa prática maliciosa vem acontecendo desde agosto de 2024, segundo a Microsoft, e é atribuída ao grupo Storm-2372, agindo em prol dos interesses do estado russo.
Entendendo o Golpe
O grupo Storm-2372 está usando uma técnica chamada “phishing de código de dispositivo”. Eles enganam as vítimas para que forneçam detalhes essenciais para o acesso às contas, como nomes de usuário, senhas e códigos de autenticação de dispositivo. Depois de obter a confiança da vítima, através de aplicativos como WhatsApp, Signal e o próprio Microsoft Teams, os atacantes enviam e-mails de phishing com convites de reunião falsificados.
Como o Ataque Funciona
Ao clicar no convite, a vítima é direcionada a uma página de login legítima da Microsoft. Em seguida, é solicitada a inserir um código de verificação de dispositivo, que o Storm-2372 já solicitou anteriormente à Microsoft. Após a autenticação, o atacante obtém um token de acesso válido. Isso permite acesso aos e-mails ou contas de armazenamento em nuvem da vítima sem precisar de senha ou autenticação multifator (MFA), enquanto o token estiver ativo.
Em resumo, o grupo solicita um código de dispositivo e engana a vítima para que se autentique. Esse processo gera um token de acesso que cai nas mãos dos golpistas.
Alvos e Impacto
Governos, ONGs, empresas de TI, telecomunicações, saúde, ensino superior e setores de energia estão entre os alvos. A campanha atingiu a Europa, América do Norte, África e Oriente Médio. A Microsoft afirma que a técnica usada não reflete uma falha específica em seu código.
Protegendo-se contra Ataques
A Microsoft recomenda permitir o fluxo de código de dispositivo apenas quando absolutamente necessário. Se você suspeitar de phishing de código de dispositivo, revogue os tokens de atualização do usuário e considere configurar uma política de acesso condicional para forçar a reautenticação. A vigilância constante e a educação dos funcionários são cruciais.
Além disso, a Microsoft detectou o uso do Microsoft Graph, uma API que fornece acesso a dados do Microsoft 365, para procurar e-mails contendo palavras-chave como “senha”, “administrador” e termos relacionados, visando roubar credenciais.
Conclusão
Este caso destaca a importância da segurança cibernética. É preciso estar atento a e-mails suspeitos e implementar medidas de segurança robustas. A combinação de vigilância, melhores práticas de segurança e educação contínua é a melhor defesa contra essas ameaças sofisticadas.
Compartilhe suas experiências e dicas de segurança cibernética nos comentários!
Fonte: The Register
