Recentemente, grupos de ameaças têm direcionado ataques a organizações de tecnologia, manufatura e finanças, utilizando uma combinação de phishing por código de dispositivo e vishing para comprometer contas do Microsoft Entra. Ao contrário de ataques anteriores que usavam aplicativos OAuth maliciosos, essas campanhas aproveitam IDs de cliente OAuth legítimos e o fluxo de autorização de dispositivo para enganar as vítimas a autenticarem-se. Isso permite que os atacantes obtenham tokens de autenticação válidos, acessando contas sem depender de sites de phishing tradicionais que roubam senhas ou interceptam códigos de autenticação multifator. O grupo ShinyHunters, conhecido por extorsões, foi associado a esses novos ataques. Os atacantes utilizam engenharia social para convencer os funcionários a inserir códigos gerados em páginas de autenticação da Microsoft, o que resulta em acesso não autorizado a serviços corporativos, como Microsoft 365 e Salesforce. Especialistas recomendam que as organizações bloqueiem domínios maliciosos, auditem consentimentos de aplicativos OAuth e revisem logs de autenticação. A situação é preocupante, pois o fluxo de autenticação foi projetado para facilitar a conexão de dispositivos com opções de entrada limitadas, tornando-o vulnerável a abusos.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
19/02/2026 • Risco: ALTO
PHISHING
Ameaças de phishing combinam vishing e OAuth 2.0 para atacar contas Microsoft
RESUMO EXECUTIVO
Os ataques recentes que combinam vishing e phishing por código de dispositivo representam uma ameaça significativa para organizações que utilizam serviços da Microsoft. A utilização de fluxos de autenticação legítimos para comprometer contas pode resultar em acesso não autorizado a dados sensíveis, exigindo ações imediatas para mitigar riscos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e extorsão.
Operacional
Acesso não autorizado a dados corporativos e serviços conectados.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Manufatura']
📊 INDICADORES CHAVE
O grupo ShinyHunters foi associado a esses ataques.
Indicador
Campanhas de phishing foram observadas desde dezembro de 2025.
Contexto BR
Os ataques visam serviços amplamente utilizados, como Microsoft 365 e Salesforce.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar consentimentos de aplicativos OAuth e revisar logs de autenticação.
2
Bloquear domínios maliciosos e endereços de remetentes suspeitos.
3
Monitorar continuamente eventos de autenticação de código de dispositivo.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das contas de serviços amplamente utilizados, que são alvos frequentes de ataques.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
