Microsoft consegue parar campanha que visava CEOs de empresas

Malfeitores tentavam convencer suas vítimas a autorizar um falso "app da Microsoft" a acessar suas contas do Office 365, ganhando assim controle completo sobre elas
Rafael Rigues10/07/2020 14h32

20191127121215-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A Microsoft conseguiu parar uma campanha global que usava domínios falsos e apps maliciosos para enganar seus consumidores em 62 países em todo o mundo. Segundo a empresa, os malfeitores assumiam o controle das contas do Office 365 das vítimas e, se passando por elas, enviavam e-mails a parceiros comerciais para tentar convencer CEOs e outros membros de suas diretorias a lhes enviar dinheiro.

Em dezembro de 2019 o mesmo grupo criou uma campanha de phishing para obter acesso não autorizado aos sistemas de várias empresas. Os e-mails tinham como assunto termos genéricos do mundo dos negócios, como “relatório trimestral”. A Microsoft conseguiu parar esta campanha, e os malfeitores mudaram suas táticas.

Em vez de tentar fazer suas vítimas se logarem em sites falsos, consequentemente divulgando suas senhas, o golpe usava um e-mail que instruía o destinatário a dar a um “app da Microsoft” acesso às suas contas do Office 365. A pandemia de Covid-19 era usada como isca.

“Este esquema permitia o acesso não autorizado sem exigir que a vítima revelasse suas credenciais de login em um site falso ou interface similar, como em uma campanha de phishing tradicional”, disse Tom Burt, Vice-Presidente Corporativo de Segurança e Confiança do Consumidor na Microsoft.

“Depois de autorizar o acesso do app malicioso, a vítima inadvertidamente dava aos criminosos permissão para acessar e controlar o conteúdo de suas contas do Office 365, incluindo e-mails, listas de contatos, notas e dados armazenados no OneDrive for Business e no sistema de gerenciamento e armazenamento de documentos Sharepoint”.

O nome ou afiliação dos hackers não foi divulgado, e a Microsoft apenas afirmou que eles são sofisticados e que também foram responsáveis pela campanha de phishing em dezembro.

A Microsoft chama este tipo de ataque de “phishing com consentimento” (Consent Phishing). Em um post em seu blog, a empresa detalha os passos do golpe e dá dicas de como proteger sua empresa, entre elas com o uso de um sistema de autenticação em dois fatores em todas as contas corporativas.

Fonte: Wired

Colunista

Rafael Rigues é colunista no Olhar Digital