
Uma nova vaga de ataques informáticos está a visar organizações de múltiplos setores através de chamadas telefónicas fraudulentas. Os cibercriminosos recorrem a técnicas de engenharia social por voz (conhecida como vishing) para convencer os utilizadores do Microsoft 365 a registarem uma nova passkey de segurança. Na verdade, ao seguirem as instruções, as vítimas estão a entregar o controlo das suas contas diretamente aos atacantes.
Conforme detalhado no alerta de segurança partilhado pela Okta, esta campanha maliciosa está ativa e tem vindo a afetar empresas de setores tão diversos como a alimentação, tecnologia, saúde, automóvel, construção e aviação. O esquema aproveita-se de uma funcionalidade legítima que a Microsoft disponibilizou aos administradores de sistemas, concebida para incentivar os colaboradores a adotarem métodos de autenticação mais robustos.
O falso portal do Microsoft Entra
Durante as chamadas, os atacantes fingem pertencer à equipa de suporte técnico da empresa e alegam que o utilizador necessita de atualizar os seus parâmetros de segurança. Para concretizar o engano, as vítimas são encaminhadas para endereços na internet criados especificamente para a fraude, os quais incluem a palavra "passkey" no domínio e imitam a imagem de marca da própria organização visada.
Diferente dos tradicionais ataques que intercetam dados em trânsito, os piratas informáticos utilizam um painel de controlo em tempo real que monitoriza a sessão a cada segundo. Isto permite-lhes adaptar os ecrãs apresentados à vítima consoante o método de autenticação multifator (MFA) em uso — seja um código SMS, uma notificação de aplicação ou chaves temporárias.
Assim que a pessoa introduz as suas credenciais e responde ao desafio de segurança, os dados são retransmitidos para o operador da fraude, que os utiliza para entrar na conta legítima.
Distração com frases de recuperação e o grupo Pink
Para manter a ilusão de que o processo é fidedigno, o site fraudulento exibe instruções para guardar uma suposta frase de recuperação baseada no padrão BIP-39. Este tipo de chave é comum no universo das criptomoedas, mas não tem qualquer papel no registo legítimo de chaves de acesso da Microsoft. A sua inclusão serve apenas como manobra de distração para utilizadores menos familiarizados com o ecossistema do Microsoft 365.
A empresa de cibersegurança Okta atribui esta atividade a um grupo que acompanha sob a designação O-UNC-066, associado a um grupo de extorsão conhecido como Pink. Esta organização opera um site próprio onde publica amostras de dados roubados para pressionar as empresas a pagarem resgates.
Especialistas da Palo Alto Networks Unit 42 acrescentam que, após garantirem o acesso inicial, estes atacantes agem com elevada rapidez para extrair o máximo de informação possível a partir de serviços alojados na nuvem, como o SharePoint e o OneDrive.
Como medida de prevenção, é recomendado que as empresas estabeleçam canais rígidos de verificação de identidade sempre que o departamento de suporte contacte um colaborador. Adicionalmente, os administradores devem configurar as políticas de acesso para bloquear de forma automática tentativas de autenticação oriundas de localizações geográficas onde a organização não possui atividade ou serviços ativos.












Nenhum comentário
Seja o primeiro!