Um novo tipo de golpe digital está preocupando especialistas em segurança: cibercriminosos estão usando aplicativos falsos da Microsoft combinados com redirecionamentos ocultos para invadir contas corporativas — inclusive aquelas protegidas com autenticação multifator (MFA). A ameaça foi detalhada em um relatório da empresa de cibersegurança Proofpoint.
A técnica explora o protocolo OAuth, usado em apps legítimos para conceder acesso seguro a dados e serviços, como os da Microsoft 365. O problema é que golpistas estão se passando por ferramentas confiáveis (como Adobe, DocuSign e SharePoint) para enganar as vítimas.
Como funciona o golpe?
O ataque começa com o envio de um e-mail aparentemente legítimo, geralmente com temas como contratos ou pedidos de orçamento. Esse e-mail contém um link que leva a uma página controlada pelos criminosos. Lá, é exibida uma solicitação de acesso por meio de um app fraudulento — algo que parece normal para quem usa sistemas corporativos.
Ao autorizar o acesso, a vítima é levada a uma sequência de etapas enganosas: um CAPTCHA e uma página falsa de autenticação da Microsoft. Nesse processo, os hackers conseguem capturar códigos de verificação em duas etapas e até roubar cookies de sessão, permitindo o acesso completo à conta da vítima.
Mesmo que a pessoa recuse a permissão inicial, o golpe tenta continuar — usando a página falsa para roubar as credenciais por outros meios.
Ferramenta criminosa automatiza o ataque
Para facilitar a fraude, os cibercriminosos usam uma plataforma chamada Tycoon, que funciona como um serviço de phishing por assinatura (PhaaS). Isso permite que o ataque seja reproduzido em larga escala, sem necessidade de conhecimento técnico avançado por parte dos criminosos.
Empresas estão na mira
Segundo a Proofpoint, entre janeiro e julho de 2025, mais de 3 mil contas em ambientes Microsoft 365 foram atacadas — e cerca de 50% dessas tentativas resultaram em acessos bem-sucedidos. O foco principal são contas corporativas que contêm dados sensíveis e acesso a sistemas internos.
A tendência, segundo os especialistas, é que esse tipo de golpe — chamado de phishing adversary-in-the-middle (AiTM) — se torne cada vez mais comum, com foco total na identidade do usuário como porta de entrada.
Como se proteger?
A Proofpoint recomenda algumas práticas importantes:
-
Fortalecer os filtros de e-mail contra phishing;
-
Monitorar quais dispositivos e apps têm acesso autorizado às contas;
-
Observar comportamentos de login incomuns;
-
Treinar os usuários sobre como funciona o OAuth e os riscos do MFA tradicional;
-
Considerar o uso de chaves físicas de segurança, como as que seguem o padrão FIDO, para tornar o acesso ainda mais seguro.
Em tempos de ataques cada vez mais criativos, entender como funcionam essas ameaças e reforçar a cultura de segurança digital é essencial para proteger as informações da sua empresa.
