Uma nova onda de phishing via OAuth no Microsoft 365 está chamando a atenção de equipes de segurança ao redor do mundo por conseguir comprometer contas corporativas sem a necessidade de roubo de senhas. A campanha, detectada e detalhada por pesquisadores da Proofpoint, explora o fluxo legítimo de autorização por código de dispositivo do OAuth, enganando usuários para que concedam acesso direto às suas contas. O ponto mais crítico é que esse método permite o bypass completo de MFA, minando uma das principais camadas de defesa adotadas por organizações modernas.
A técnica representa uma evolução preocupante no ecossistema de ataques de engenharia social, pois se apoia em mecanismos legítimos amplamente utilizados por serviços de nuvem. Para profissionais de TI e administradores do Microsoft 365, entender como esse ataque funciona e como mitigá-lo se tornou uma prioridade imediata.
Entendendo o ataque de código de dispositivo OAuth
O fluxo de código de dispositivo do OAuth foi projetado para permitir login em dispositivos com capacidade limitada de entrada, como TVs inteligentes ou ferramentas de linha de comando. Nesse modelo, o usuário acessa um endereço oficial, insere um código temporário e aprova a solicitação de acesso, geralmente com MFA ativado.
No contexto do phishing via OAuth no Microsoft 365, os atacantes abusam exatamente desse fluxo legítimo. A vítima recebe um e-mail ou mensagem convincente solicitando que realize uma ação urgente, como revisar um documento ou confirmar uma atividade suspeita. Ao clicar, ela é direcionada a um portal legítimo da Microsoft, onde insere o código fornecido pelo atacante.
Ao aprovar a solicitação, o usuário concede um token de acesso OAuth diretamente ao invasor. Esse token permite acesso contínuo aos recursos da conta, como e-mails, arquivos do OneDrive e dados do SharePoint, sem exigir senha ou nova verificação por MFA. Como o login ocorre em um domínio confiável, muitos controles tradicionais não disparam alertas.
O papel dos kits SquarePhish e Graphish
Para escalar esse tipo de ataque, grupos criminosos têm recorrido a kits especializados como SquarePhish e Graphish. Essas ferramentas automatizam todo o processo de phishing por autorização, desde o envio das mensagens até a coleta e o uso dos tokens OAuth.
O SquarePhish se destaca por fornecer templates prontos e fluxos guiados que imitam comunicações corporativas reais, aumentando significativamente a taxa de sucesso. Já o Graphish explora diretamente a Microsoft Graph API, utilizando os tokens obtidos para extrair dados de forma silenciosa e persistente.
Esses kits reduzem a barreira técnica para criminosos menos sofisticados e transformam o phishing via OAuth no Microsoft 365 em um serviço facilmente replicável, ampliando o alcance das campanhas.
Grupos de ameaça em ação: Do crime financeiro à espionagem estatal
As investigações indicam que essa técnica não está restrita a um único perfil de atacante. O grupo TA2723, conhecido por operações de crime financeiro, tem utilizado o phishing por código de dispositivo para acessar contas corporativas e viabilizar fraudes, comprometimento de caixas de e-mail e ataques subsequentes de BEC.
Paralelamente, pesquisadores também associaram campanhas semelhantes ao grupo russo UNK_AcademicFlare, ligado a atividades de espionagem estatal. Nesse caso, o foco não é lucro imediato, mas acesso prolongado a comunicações sensíveis, documentos estratégicos e redes acadêmicas ou governamentais.
A convergência entre crime cibernético e espionagem demonstra o alto valor estratégico desse vetor de ataque e reforça a necessidade de respostas robustas por parte das organizações que utilizam o Microsoft 365.
Como se proteger contra o phishing de autorização
Mitigar o phishing via OAuth no Microsoft 365 exige uma combinação de controles técnicos e conscientização dos usuários. Uma das medidas mais eficazes é restringir ou desabilitar o fluxo de código de dispositivo do OAuth sempre que ele não for estritamente necessário.
O uso de Acesso Condicional é fundamental para limitar quais aplicativos e origens podem solicitar autorização. Políticas que exijam dispositivos compatíveis ou localizações confiáveis reduzem significativamente a superfície de ataque.
A educação do usuário também desempenha um papel central. É essencial treinar colaboradores para reconhecer solicitações de login inesperadas e entender que códigos de autorização não devem ser inseridos sob pressão ou urgência. Alertas claros sobre tentativas de consentimento suspeitas ajudam a criar uma cultura de segurança mais madura.
Por fim, revisar periodicamente os aplicativos autorizados e monitorar logs de consentimento no Microsoft Entra ID permite identificar acessos anômalos e revogar tokens comprometidos antes que danos maiores ocorram.
Conclusão: O futuro da autenticação sem senhas e os novos riscos
A adoção de modelos de autenticação sem senhas e baseados em tokens é uma tendência irreversível, impulsionada pela busca por melhor experiência do usuário e maior segurança. No entanto, o crescimento do phishing via OAuth no Microsoft 365 mostra que atacantes estão se adaptando rapidamente a esse novo cenário.
Ignorar esses riscos pode resultar em comprometimentos silenciosos e persistentes, difíceis de detectar com abordagens tradicionais. Para profissionais de TI e administradores de sistemas, o momento exige revisão de políticas, reforço de controles e investimento contínuo em conscientização.
A segurança da identidade continua sendo o novo perímetro, e entender como ela pode ser explorada é o primeiro passo para protegê-la de forma eficaz.
