Phishing com código de dispositivo habilitado por IA explora o fluxo OAuth para invadir contas corporativas em escala
Uma recente campanha identificada pela equipe de Pesquisa em Segurança do Microsoft Defender revelou uma nova forma de phishing que combina automação avançada, uso de inteligência artificial e abuso do fluxo de autenticação por código de dispositivo do OAuth. O objetivo é simples e devastador: assumir o controle de contas organizacionais em larga escala, mesmo quando há autenticação multifator (MFA) habilitada.
Em vez de tentar roubar diretamente usuário e senha, os criminosos exploram a forma como o fluxo de código de dispositivo foi projetado. Esse fluxo é legítimo e amplamente utilizado em dispositivos que não suportam interfaces de login tradicionais, como smart TVs, consoles de videogame, terminais de quiosque e alguns aplicativos específicos. Nesses cenários, o usuário recebe um código de uso único em um dispositivo e é orientado a inseri-lo em um navegador em outro dispositivo, acessando um portal oficial de login para concluir a autenticação.
Os operadores da campanha perceberam que esse mecanismo pode ser manipulado para “desvincular” a autenticação do usuário da sessão que, de fato, será utilizada pelo invasor. Quando a vítima insere o código no site legítimo e confirma a ação, ela, sem perceber, está autorizando a sessão do atacante, que passa a ter acesso à conta sem nunca ter visto a senha ou precisado aprovar MFA diretamente na própria sessão maliciosa.
Reconhecimento e preparação do ataque
O ataque não começa no momento em que a vítima recebe a mensagem de phishing. De acordo com a análise, a fase de reconhecimento pode ter início entre 10 e 15 dias antes da tentativa efetiva. Nesse período, os criminosos verificam se os endereços de e-mail-alvo existem, se estão ativos e se pertencem de fato ao ambiente corporativo desejado. Essa validação prévia reduz desperdício de esforço e aumenta as chances de sucesso da campanha.
A infraestrutura utilizada é altamente automatizada e apoiada por IA, permitindo processar grandes volumes de endereços, ajustar o conteúdo das mensagens de forma dinâmica e orquestrar os diferentes componentes do ataque: geração de códigos, hospedagem de páginas falsas, comunicação com as plataformas de identidade e monitoramento das sessões em tempo real.
Pipeline de entrega em múltiplas etapas
O ataque é construído em um pipeline de entrega de múltiplas camadas para burlar gateways de e-mail, filtros anti-spam e soluções de segurança de endpoints. Tudo começa quando o usuário interage com uma URL enganosa ou abre um anexo malicioso recebido por e-mail. Essa isca costuma estar disfarçada de:
– solicitação de acesso a documentos internos;
– pedido de assinatura eletrônica;
– aviso sobre uma mensagem de voz corporativa;
– notificação de compartilhamento de arquivos na nuvem;
– atualização urgente de algum serviço.
Para aumentar a taxa de sucesso, os criminosos personalizam o conteúdo, linguagem e aparência das mensagens, muitas vezes usando IA generativa para produzir textos em bom português, coerentes com o contexto da organização-alvo.
Uso de domínios legítimos comprometidos e plataformas sem servidor
Uma das principais táticas para escapar de scanners automatizados de URL e sandboxes é o uso de domínios legítimos comprometidos, bem como plataformas sem servidor para hospedar partes da cadeia de ataque. Em vez de usar um domínio óbvio de phishing, os agentes abusam de sites de terceiros vulneráveis ou de serviços de hospedagem em nuvem que, por padrão, têm boa reputação.
Além disso, é comum o emprego de técnicas de “sombreamento de domínio” e criação de subdomínios que imitam marcas conhecidas ou o próprio domínio da organização-alvo. Essa estratégia dificulta a detecção baseada exclusivamente em reputação ou listas de bloqueio.
Interface de captura: navegador dentro do navegador
Ao clicar no link malicioso, a vítima é redirecionada para uma página que, à primeira vista, parece legítima. A interface de roubo de credenciais é cuidadosamente construída para imitar janelas de login conhecidas ou telas de visualização de documentos em nuvem. Em muitos casos, essa tela é exibida como:
– um “navegador dentro do navegador” (uma janela falsa de navegador desenhada em HTML/CSS dentro da página principal), simulando um pop-up autêntico;
– uma pré-visualização de documento com o conteúdo propositalmente desfocado, acompanhada de um botão para “Verificar identidade” e prosseguir.
Junto a esse botão, é exibido um código de dispositivo aparentemente legítimo. Em alguns cenários, a página ainda solicita que o usuário insira seu endereço de e-mail antes, sob o pretexto de personalizar ou validar o acesso. Na prática, isso serve para gerar dinamicamente um código malicioso vinculado à conta daquela vítima específica.
Geração de código em tempo real e automação de fundo
A peça central do ataque é o script de automação executado em segundo plano na página controlada pelo invasor. Assim que a vítima acessa a URL maliciosa, esse script interage automaticamente com a plataforma de identidade da Microsoft para solicitar um código de dispositivo válido via fluxo OAuth legítimo.
O código, então, é mostrado na interface de phishing. Em muitos casos, um botão conduz o usuário ao portal oficial de login da Microsoft (por exemplo, a página empresarial de autenticação), reforçando a sensação de segurança: a vítima vê a URL certa, o cadeado de conexão segura e toda a aparência esperada.
O script pode ainda copiar automaticamente o código de dispositivo para a área de transferência do usuário. Assim, ao ser instruído a colar o código no site oficial, o usuário apenas usa o atalho de colar e prossegue, sem perceber que todo o processo foi orquestrado pelo invasor.
Se não houver sessão ativa, o portal legítimo solicitará as credenciais normais de login e, em seguida, a aprovação do fator adicional de MFA. Em ambientes em que o usuário já está logado, basta colar o código, confirmar a ação e concluir a autorização. Em ambos os casos, quem se beneficia dessa autorização é a sessão mantida em segundo plano pelo atacante.
Sondagem contínua do status de autenticação
Depois que o site de login legítimo é aberto, o script malicioso entra em um modo de sondagem (“polling”), consultando repetidamente a plataforma de identidade para saber se o código de dispositivo foi validado e se a autenticação multifator foi concluída.
Assim que o usuário passa por todas as etapas e a autenticação é marcada como bem-sucedida, a resposta obtida na próxima sondagem indica que o token de acesso foi emitido. O invasor, então, captura esse token e o utiliza para assumir a sessão da conta comprometida, com todos os privilégios concedidos pela organização para aquele usuário.
Na prática, a vítima tem a sensação de ter cumprido um procedimento de segurança adicional para abrir um documento ou serviço, enquanto, nos bastidores, acabou de entregar ao criminoso uma sessão autenticada e com MFA validada.
Atividade pós-comprometimento
Uma vez com acesso à conta, os atacantes podem:
– ler, encaminhar e excluir e-mails;
– baixar, modificar ou exfiltrar arquivos armazenados na nuvem;
– acessar dados de CRM, ERP e outras aplicações integradas via SSO;
– criar regras de encaminhamento automático para espionagem contínua;
– enviar novos e-mails internos de phishing, ampliando o alcance do ataque;
– tentar elevação de privilégios, dependendo das permissões disponíveis.
Em ambientes corporativos, isso pode resultar em roubo de propriedade intelectual, vazamento de dados sensíveis, fraude financeira, sequestro de contas de executivos e até instalação de malwares adicionais ou ransomware em fases posteriores.
Papel da IA na sofisticação do ataque
O uso de inteligência artificial não está limitado à automação de scripts. A IA pode ser empregada para:
– gerar textos persuasivos adaptados ao setor, idioma e cultura da vítima;
– ajustar em tempo real o conteúdo das mensagens com base em respostas automáticas ou devoluções de e-mail;
– escolher o momento mais provável para a vítima estar ativa (com base em fusos, horários típicos de uso e padrões anteriores);
– analisar logs e resultados para refinar o ataque, focando em perfis mais valiosos.
Isso transforma o que antes era um processo relativamente manual em uma operação industrializada de roubo de contas, com alto grau de personalização e dificuldade de detecção.
Por que a MFA não é suficiente nesse cenário
Em teoria, a autenticação multifator deveria bloquear a maior parte das tentativas de acesso indevido. Porém, nesse modelo de ataque, a MFA atua exatamente como planejado – apenas na sessão errada. O usuário aprova a autenticação sem compreender que está concedendo acesso a uma sessão que não é a dele, mas sim a do atacante, atrelada ao código de dispositivo.
Esse tipo de ameaça reforça que:
– MFA é indispensável, mas não é uma solução mágica;
– fluxos OAuth, principalmente os que foram pensados para dispositivos limitados, precisam ser monitorados e, se possível, restritos;
– usuários devem ser treinados para reconhecer procedimentos legítimos de verificação e desconfiar sempre que uma página terceirizada “guiar” o processo de login em outro site.
Medidas de mitigação e boas práticas
Organizações que desejam reduzir o impacto desse tipo de campanha podem adotar uma combinação de controles técnicos e medidas de conscientização:
1. Monitorar e restringir o fluxo de código de dispositivo
– Revisar a necessidade real do uso do fluxo de dispositivo para todos os usuários.
– Aplicar políticas de acesso condicional específicas para esse tipo de autenticação, limitando-o a dispositivos ou locais confiáveis.
2. Aprimorar detecção e resposta
– Configurar alertas para uso incomum de fluxos OAuth, principalmente ligados a códigos de dispositivo.
– Observar padrões suspeitos como logins simultâneos de locais improváveis ou alterações em regras de encaminhamento de e-mails.
3. Reforçar a proteção de e-mail
– Utilizar filtros avançados com análise de comportamento, não apenas listas de reputação.
– Inspecionar uso de subdomínios estranhos ou domínios legítimos, mas com conteúdo descontextualizado.
4. Treinar usuários de forma contínua
– Explicar, em linguagem simples, como funciona um fluxo de código de dispositivo legítimo.
– Orientar que qualquer solicitação de digitar ou colar códigos em portais oficiais, iniciada a partir de páginas de terceiros, deve ser tratada com extrema cautela.
5. Segregar privilégios e aplicar o princípio do mínimo privilégio
– Reduzir o impacto de uma conta comprometida limitando o acesso apenas ao estritamente necessário.
– Revisar periodicamente grupos de acesso, permissões em pastas, aplicativos e dados sensíveis.
6. Auditar tokens e consentimentos de aplicativos
– Verificar quais aplicativos têm consentimento para acessar dados via OAuth.
– Revogar tokens e consentimentos suspeitos ou que não sejam estritamente necessários para o trabalho.
Perspectivas futuras e necessidade de adaptação constante
Esse tipo de campanha mostra que os atacantes acompanham de perto a evolução das tecnologias corporativas e estão prontos para explorar qualquer brecha lógica em fluxos de autenticação, especialmente aquelas pensadas para conveniência do usuário. À medida que a IA avança, a linha entre comunicações legítimas e golpes bem elaborados tende a ficar ainda mais tênue.
Para se manterem à frente, empresas precisarão:
– revisar continuamente seus modelos de ameaça;
– atualizar políticas de segurança para contemplar novos fluxos e protocolos;
– investir em soluções que correlacionem sinais de múltiplas camadas (e-mail, identidade, endpoint, nuvem);
– e, sobretudo, tratar a educação em segurança não como uma ação pontual, mas como um processo constante, alinhado à realidade do negócio.
Phishing com código de dispositivo habilitado por IA é mais uma prova de que o foco dos criminosos está na interseção entre tecnologia e comportamento humano. Enquanto a experiência do usuário continuar sendo um diferencial competitivo, a segurança precisará encontrar formas de garantir proteção sem abrir mão da praticidade – e isso exige atenção redobrada a cada novo fluxo de autenticação introduzido no ambiente corporativo.