No final dos anos 2020, uma nova técnica de ciberataque começou a ganhar notoriedade ao aliar a utilização dos aplicativos Microsoft OAuth com redirecionamentos ocultos. Essa estratégia visa o roubo de credenciais corporativas, atingindo até mesmo contas protegidas por autenticação multifator (MFA). A empresa de segurança cibernética Proofpoint trouxe à tona detalhes sobre essa abordagem em um relatório recente, evidenciando a crescente complexidade das ameaças digitais.
Os aplicativos OAuth são amplamente usados para garantir acesso autorizado a dados e funcionalidades sem que as credenciais dos usuários sejam diretamente expostas. Esta tecnologia intermediária de autorização é comumente adotada por ferramentas como SharePoint e Adobe, proporcionando tanto segurança como conveniência ao evitar múltiplos processos de login.
Como aplicativos OAuth legítimos funcionam?
Para entender a vulnerabilidade explorada pelos cibercriminosos, é vital primeiro compreender o funcionamento de um aplicativo OAuth legítimo. Ao solicitar acesso a dados através de APIs como o Microsoft Graph, o aplicativo redireciona o usuário ao servidor de autorização da Microsoft para login. Após a autenticação, as permissões são concedidas, um token de acesso é emitido e as operações são realizadas em nome do usuário.
Qual é a técnica de ataque empregada?
Os ataques que utilizam os aplicativos OAuth seguem um fluxo enganosamente similar aos processos legítimos. A técnica emprega engenharia social sofisticada para manipular as vítimas através de múltiplas etapas. Inicialmente, uma conta comprometida envia um e-mail ostensivamente legítimo, como um pedido de orçamento, contendo links que direcionam para páginas controladas pelos atacantes. Nessas páginas, solicita-se a permissão de um aplicativo OAuth fraudulento, desencadeando a interceptação do código de autenticação multifator e permitindo o acesso não autorizado. Recentemente, alguns criminosos também têm utilizado domínios falsos que imitam sistemas corporativos e empregam táticas de manipulação visual para enganar ainda mais os usuários.
Por que contas corporativas são focos principais?
Em 2025, a Proofpoint observou que cerca de 3 mil contas em mais de 900 ambientes Microsoft 365 foram alvo desse tipo de invasão. O sucesso desses ataques demonstra uma taxa alarmante, com metade das tentativas resultando em comprometimento de credenciais. A identidade do usuário, de acordo com a Proofpoint, tornou-se o foco das ameaças, com métodos de phishing AiTM consolidando-se como padrão entre criminosos cibernéticos. Empresas, por vezes, armazenam grande volume de dados sensíveis, ativos financeiros e informações estratégicas, tornando-as alvos rentáveis para operações de larga escala promovidas por grupos organizados de ataque.
Como evitar este estilo de ciberataque?
A prevenção de tais ataques deve ser multifacetada. Reforçar filtros de e-mails maliciosos e auditar regularmente dispositivos e aplicativos autorizados em ambientes corporativos são etapas essenciais. Além disso, o treinamento dos usuários sobre os riscos associados à autenticação multifator, bem como a consideração de chaves de autenticação baseadas no padrão FIDO, proporciona uma camada adicional de segurança. Monitorar acessos anômalos ou não autorizados a recursos protegidos também é uma estratégia crucial para proteger dados corporativos sensíveis. Empresas que utilizam soluções de SIEM (Security Information and Event Management) podem identificar padrões suspeitos rapidamente, ajudando a mitigar possíveis danos antes que ocorram invasões mais graves. Outro ponto importante é implementar alertas automáticos para autorizações não comuns de aplicativos e atualizar regularmente as políticas de acesso com base nos relatórios de incidentes mais recentes.
Quais são os principais sinais de que um ataque envolvendo OAuth pode estar em andamento?
Identificar um ataque envolvendo OAuth exige atenção a comportamentos incomuns na plataforma. Alguns indicadores importantes incluem alertas de login de localidades inesperadas, solicitações incomuns de permissões para aplicativos, notificações administrativas sobre novas aplicações conectadas sem aprovação prévia e aumento repentino de acessos a dados sensíveis. Além disso, logs de auditoria apontando atividades fora do perfil comum do usuário, tentativas de alteração de configurações de segurança e múltiplas tentativas de login falhadas em sequência podem indicar que um ataque está sendo conduzido. É recomendável que equipes de segurança analisem estes sinais em conjunto para detectar rapidamente possíveis ameaças. Novos recursos de machine learning em ferramentas de detecção de ameaças também podem ser empregados para identificar padrões anômalos de forma proativa.
Como administrar de forma segura permissões de aplicativos OAuth em ambientes corporativos?
Para administrar permissões de aplicativos OAuth com segurança, é fundamental implementar políticas rígidas de gerenciamento de consentimento e revisar periodicamente quais aplicativos possuem acesso aos dados corporativos. Utilizar ferramentas de governança de identidade, como os controles de consentimento granular do Microsoft 365 ou soluções de Cloud Access Security Broker (CASB), pode ajudar a restringir aprovações e detectar comportamentos anômalos. Trabalhar com listas de permissões e negações para aplicativos, exigir revisões de consentimento regulares por parte dos administradores e fortalecer a autenticação baseada em risco são práticas recomendadas. Procedimentos de revogação imediata de tokens e acessos desnecessários também são críticos para reduzir a superfície de ataque e proteger recursos sensíveis. Além disso, o uso de painéis centralizados para monitorar e revisar concessões em tempo real pode facilitar a resposta rápida diante de ameaças modernas.
