Golpe de phishing

Golpe de phishing por publicidade falsa rouba senhas Microsoft 365

Pesquisadores da Push Security identificaram uma estratégia inédita de phishing que utiliza publicidade falsa para enganar usuários e roubar credenciais do Microsoft 365. O golpe explora links válidos da infraestrutura confiável da Microsoft, como office.com, por meio de redirecionamentos criados por meio de ADFS (Active Directory Federation Services), mascarando o ataque e dificultando a detecção por usuários e ferramentas de segurança.

Como funciona o ataque

O usuário faz uma pesquisa comum, como por “Office 265” (erro de digitação intencional). Ao clicar no link patrocinado malicioso, inicialmente é levado para o site oficial da Microsoft, o que evita alertas de segurança por parte dos navegadores ou dos sistemas de detecção de phishing.
Depois, ocorre um redirecionamento encadeado: primeiro para um domínio controlado pelos atacantes — como bluegraintours[.]com —, que simula ser legítimo com conteúdo publicável e só direciona o usuário para a página real de phishing se este for considerado “alvo válido”; caso contrário, é reenviado à página autêntica da Microsoft.

Uso de ADFS para legitimar o golpe

Os atacantes configuram um tenant da Microsoft com ADFS, permitindo que o sistema de login único (SSO) gere um fluxo de autenticação aparentemente legítimo. O usuário, então, interage com uma página semelhante à de login do Microsoft 365, mas está entregando suas credenciais diretamente ao atacante.

Evasão de detecção e seletividade dos alvos

O domínio falso contém conteúdo e estrutura suficientes para passar em filtros automáticos de segurança. Além disso, possui mecanismo de filtragem para apresentar a página de phishing apenas a vítimas suspeitas, evitando atrair atenção desnecessária e dificultando a investigação.

Implicações de segurança e percepção do risco

A técnica explora a confiança em domínios legítimos e o uso de infraestruturas robustas como vetores de ataque. Esse tipo de golpe não é apenas sofisticado no aspecto técnico, mas também perigoso psicologicamente, pois confunde usuário comum e pode comprometer com sucesso mecanismos de autenticação como MFA (autenticação multifator).

Recomendações de mitigação

• Evite clicar em links patrocinados; prefira resultados de busca orgânica.

• Empresas devem revisar cuidadosamente os parâmetros de redirecionamento em campanhas de anúncios, especialmente aqueles que apontam para domains como office.com.

• Usuários devem verificar a URL real antes de digitar credenciais, desconfiar de pop-ups e requerimentos urgentes de login.

• Implementar soluções de segurança com análise comportamental que detectem padrões atípicos de acesso via SSO.

Conclusão

Esse novo malware de phishing é um alerta claro de que as técnicas de ataque evoluem à medida que as defesas se tornam mais robustas. Ao transformar domínios confiáveis e processos legítimos de autenticação em ferramentas de engenharia maliciosas, os atacantes desafiam a confiança dos usuários e das empresas. A segurança eficaz exige conscientização contínua, revisão de políticas de anúncios e monitoração ativa de fluxos de autenticação — especialmente SSO — para preservar a integridade das credenciais corporativas e pessoais.

Referências bibliográficas

• Nova técnica hacker rouba senha da Microsoft através de publicidade falsa — Canaltech, 25/08/2025. Disponível em: https://canaltech.com.br/seguranca/nova-tecnica-hacker-rouba-senha-da-microsoft-atraves-de-publicidade-falsa/?utm_source=chatgpt.com

• Hackers steal Microsoft logins using legitimate ADFS redirects — BleepingComputer, 20/08/2025. Disponível em: https://www.bleepingcomputer.com/news/security/hackers-steal-microsoft-logins-using-legitimate-adfs-redirects/?utm_source=chatgpt.com