Uma nova e sofisticada campanha de phishing está colocando em risco contas do Microsoft 365 ao explorar aplicativos OAuth falsos. O golpe, identificado como parte do kit “Tycoon”, permite que criminosos cibernéticos enganem usuários, obtenham consentimentos indevidos e até contornem a autenticação multifator (MFA). Essa técnica avançada representa uma escalada preocupante nos ataques direcionados ao ecossistema da Microsoft, essencial para milhares de empresas e profissionais no Brasil e no mundo.
Neste artigo, você vai entender como o ataque Tycoon funciona, desde a isca inicial até a invasão total da conta, e aprender medidas concretas de proteção, tanto para usuários comuns quanto para administradores de TI. O objetivo é esclarecer os riscos, empoderar você com conhecimento prático e evitar que sua conta seja a próxima vítima.
O que é o ataque Tycoon e como ele engana as vítimas?
O Tycoon é um kit de Phishing-as-a-Service (PhaaS), ou seja, uma plataforma vendida ou alugada na dark web que facilita ataques cibernéticos. Ele permite que criminosos com pouco conhecimento técnico implementem golpes complexos, aproveitando automações e interfaces amigáveis. A principal inovação do Tycoon está na utilização de aplicativos OAuth falsos para obter acesso a contas Microsoft 365 sem acionar alarmes tradicionais de segurança.
A isca inicial: o e-mail de phishing convincente
O ataque geralmente começa com um e-mail de phishing altamente convincente, enviado de uma conta legítima já comprometida — o que aumenta a credibilidade da mensagem. Os temas variam entre pedidos de cotação, assinaturas de contrato, convites para reuniões ou documentos importantes. O e-mail traz um link que direciona a vítima para uma página onde será solicitado consentimento OAuth.
A armadilha do consentimento OAuth: mais do que um simples clique
O OAuth é um protocolo de autorização amplamente utilizado que permite que aplicativos de terceiros acessem recursos de uma conta sem revelar a senha. Exemplos comuns são “Entrar com Google” ou “Entrar com Facebook”. O problema é que essa permissão pode ser explorada.
Os atacantes criam aplicativos OAuth falsos, com nomes e logotipos de empresas conhecidas como RingCentral, Adobe ou DocuSign, solicitando permissões aparentemente inofensivas — como acesso ao perfil do usuário ou leitura de e-mails. Como o pedido parece legítimo e as permissões não são suspeitas, muitas vítimas aceitam sem pensar duas vezes.
Esse consentimento inicial é o ponto de entrada. A partir daí, os criminosos têm acesso limitado, mas suficiente para preparar a próxima fase do golpe.
Adversário-no-meio (AitM): a etapa final para roubar senhas e MFA
Após o consentimento OAuth, a vítima é redirecionada para uma página de login da Microsoft que parece autêntica, mas é na verdade um exemplo de ataque Adversary-in-the-Middle (AitM). Nessa técnica, o atacante intercepta a comunicação entre o usuário e o serviço real.
Essa página falsa captura:
- Nome de usuário
- Senha
- Token de sessão gerado após o login e a autenticação multifator
Ou seja, mesmo que a vítima utilize MFA, os criminosos conseguem roubar o token de autenticação e usá-lo para acessar a conta como se fossem o usuário legítimo, sem acionar alertas adicionais.
A resposta da Microsoft: o que vai mudar para nos proteger?
A Microsoft já está ciente da ameaça representada pelo Tycoon e anunciou medidas para reforçar a segurança das contas do Microsoft 365.
Entre as principais mudanças:
- Bloqueio de protocolos de autenticação legados, que não suportam MFA e são frequentemente utilizados em ataques.
- Exigência de consentimento administrativo para que aplicativos OAuth de terceiros possam acessar dados corporativos.
Essas atualizações vão limitar o escopo de ação dos atacantes, forçando a revisão humana e dificultando a disseminação de apps maliciosos. Embora não eliminem completamente os riscos, aumentam significativamente a barreira de entrada para os criminosos.
Como se proteger agora mesmo contra este tipo de ataque
A boa notícia é que existem medidas práticas e eficazes que podem ser adotadas imediatamente, tanto por usuários quanto por administradores de sistemas.
Para usuários finais
Desconfie sempre de solicitações de consentimento
Antes de aceitar qualquer permissão de aplicativo, verifique cuidadosamente o nome do app, a empresa associada e as permissões solicitadas. Se algo parecer estranho, não clique e procure seu administrador de TI.
Verifique a URL da página de login
Sempre confirme se você está no domínio oficial da Microsoft:https://login.microsoftonline.com
Evite clicar em links diretamente do e-mail — prefira digitar o endereço manualmente no navegador.
Revise os aplicativos conectados à sua conta
Acesse as configurações da sua conta Microsoft e veja quais aplicativos têm acesso autorizado.
Remova qualquer app que você não reconheça ou não use mais.
Para administradores de TI
Implemente políticas de consentimento de aplicativos
Configure o ambiente do Microsoft 365 para exigir que apenas administradores possam aprovar novos aplicativos OAuth.
Utilize o Acesso Condicional
Estabeleça políticas que limitem o acesso com base em localização geográfica, dispositivo, risco do usuário ou do aplicativo.
Eduque os usuários
Realize campanhas internas regulares sobre boas práticas de segurança, especialmente voltadas para reconhecimento de phishing e gestão de consentimentos.
Conclusão: a vigilância é a melhor defesa
O ataque Tycoon representa uma evolução dos golpes de phishing, demonstrando como os criminosos estão se adaptando às novas tecnologias de autenticação. O uso de aplicativos OAuth falsos e técnicas como Adversary-in-the-Middle mostra que não basta apenas ter MFA — é preciso entender o que está por trás dos cliques.
É fundamental que usuários e administradores mantenham-se atualizados, revisem suas permissões regularmente e adotem práticas de cibersegurança proativas.
Revise agora mesmo os aplicativos conectados à sua conta Microsoft e fortaleça sua segurança digital. E não esqueça: compartilhe este artigo com colegas e amigos — juntos, podemos reduzir o impacto dessas ameaças.
