Adfs

Um novo golpe de phishing foi identificado, utilizando links legítimos do site office.com redirecionados por meio de publicidade falsa para roubar credenciais de usuários do Microsoft 365. A técnica, descoberta pela Push Security, consiste em evitar a detecção de endereços maliciosos e contornar a verificação multifator (MFA) da Microsoft. O ataque começa quando um usuário, ao buscar por ‘Office 265’ (um erro de digitação), clica em um link patrocinado que parece legítimo. Inicialmente, o usuário é redirecionado para o site oficial da Microsoft, o que dificulta a identificação do golpe. Os hackers criaram um domínio próprio que redireciona para uma página de phishing, que, embora não contenha elementos maliciosos visíveis, é projetada para enganar sistemas de detecção. A Push Security alerta que os alvos não são específicos, sugerindo que os hackers estão testando a eficácia dessa nova abordagem. Para se proteger, recomenda-se que empresas verifiquem os parâmetros de redirecionamento de anúncios que levam ao office.com e que usuários evitem clicar em links publicitários, optando por resultados orgânicos.

Pesquisadores de cibersegurança da Push Security alertaram sobre um novo esquema de phishing que tem como alvo credenciais de login da Microsoft. Os criminosos cibernéticos criaram páginas falsas que imitam as telas de login do Microsoft 365, utilizando uma ferramenta chamada Active Directory Federation Services (ADFS) para enganar os usuários. Em vez de enviar as vítimas diretamente para o site de phishing, os atacantes configuraram suas contas Microsoft para redirecionar os usuários para essas páginas fraudulentas, fazendo com que os links parecessem legítimos, já que começavam com ‘outlook.office.com’. Além disso, a distribuição do link não ocorreu por e-mail, mas sim através de malvertising, onde vítimas que buscavam por “Office 265” eram direcionadas a uma página de login falsa. O uso de um blog de viagens falso como intermediário ajudou a ocultar o ataque. Essa abordagem sofisticada permitiu que o esquema contornasse muitas ferramentas de segurança, aumentando sua taxa de sucesso em comparação com métodos tradicionais de phishing. Para se proteger, equipes de TI devem bloquear anúncios suspeitos e monitorar o tráfego de anúncios, enquanto os usuários devem ter cuidado ao digitar termos de busca, pois um simples erro de digitação pode levar a um anúncio falso que compromete dispositivos e contas.