Pesquisadores da Microsoft soam o alarme sobre campanha de phishing de "roubo de token"
Em um alerta significativo para a comunidade global de cibersegurança, as equipes de inteligência de ameaças da Microsoft detalharam o surgimento de uma campanha de phishing altamente sofisticada que contorna fundamentalmente as barreiras de proteção da autenticação multifator (MFA). Esta campanha marca uma mudança estratégica por parte dos agentes de ameaça, passando do roubo de senhas para a interceptação e roubo direto de tokens de sessão — os passes digitais que comprovam que um usuário já está autenticado.
A mecânica técnica do ataque revela um nível preocupante de refinamento. A campanha começa com uma isca clássica de engenharia social, muitas vezes um e-mail ou mensagem enganosa projetada para criar urgência. No entanto, em vez de direcionar a vítima para uma página de login falsa para colher credenciais, o link leva a um servidor proxy malicioso controlado pelo invasor. Quando a vítima clica no link e tenta fazer login em um serviço legítimo (como Microsoft 365, Google Workspace ou outras plataformas SaaS), seu tráfego é roteado através deste proxy.
Este proxy atua como um "homem no meio", posicionando-se invisivelmente entre o usuário e o aplicativo real. Enquanto o usuário insere suas credenciais e completa qualquer desafio de MFA, o proxy encaminha essas informações para o serviço genuíno para estabelecer uma sessão real. Crucialmente, ele captura o cookie de sessão ou token retornado pelo serviço. Este token é o prêmio principal. Com ele, o invasor pode impersonar diretamente a sessão da vítima, muitas vezes de um dispositivo e localização completamente diferentes, sem nunca mais precisar da senha ou do código MFA. A sessão parece legítima porque se originou de um login bem-sucedido.
Por que isso representa uma mudança de paradigma crítica
Por anos, a indústria de segurança defendeu a MFA como uma defesa primária contra a tomada de conta. Esta campanha anula essa defesa. O invasor não está tentando se autenticar; ele está sequestrando uma sessão já autenticada. Essa mudança tem implicações profundas:
- A MFA não é mais uma solução definitiva: Organizações que se consideravam seguras devido à aplicação da MFA agora estão vulneráveis. O treinamento de conscientização em segurança focado apenas em não inserir senhas em sites falsos é inadequado.
- Furtividade e persistência: O roubo de token fornece aos invasores um acesso mais furtivo e persistente. Como estão usando uma sessão válida, sua atividade pode se misturar com o comportamento normal do usuário, evitando ferramentas de detecção que procuram logins mal-sucedidos ou tentativas de autenticação anômalas.
- Espectro amplo de alvos: Embora provavelmente mirem empresas para espionagem ou fraude financeira inicialmente, a técnica é aplicável a qualquer aplicativo web que use autenticação baseada em sessão, incluindo serviços de banco online, mídias sociais e e-mail.
Recomendações da Microsoft para defesa
A Microsoft enfatiza que a defesa contra este novo paradigma requer uma abordagem em camadas além da segurança de perímetro tradicional:
- Implementar políticas de acesso condicional: Use soluções como o Acesso Condicional do Microsoft Entra ID para aplicar políticas baseadas em risco. Por exemplo, bloqueie sessões originadas de países não familiares, dispositivos desconhecidos ou endereços IP com má reputação, mesmo que um token válido seja apresentado.
- Monitorar atividade de sessão anômala: Implante soluções de SIEM (Gerenciamento de Informações e Eventos de Segurança) e XDR (Detecção e Resposta Estendidas) para procurar cenários de viagem impossível (uma sessão em Nova York seguida por uma em Londres minutos depois), múltiplas sessões simultâneas de localizações distintas ou sessões com duração incomumente longa.
- Encurtar a vida útil das sessões: Reduza o período de validade dos tokens de sessão para limitar a janela de oportunidade para um invasor usar um token roubado. Combine isso com a vinculação de token, que associa um token de sessão a características específicas do dispositivo cliente original.
- Proteção de identidade avançada: Utilize ferramentas de proteção de identidade que avaliem continuamente o risco do usuário com base em comportamento, localização, integridade do dispositivo e outros sinais, forçando a reautenticação para sessões de alto risco.
- Treinamento de usuário aprimorado: Atualize os programas de conscientização em segurança para educar os usuários sobre esta nova ameaça. Alerte-os de que clicar em um link e fazer login com sucesso ainda pode levar a um comprometimento, e que devem ser hiper vigilantes com qualquer solicitação não solicitada de interação, mesmo aquelas que não pedem uma senha.
A descoberta desta campanha é um lembrete contundente de que o cenário de ameaças é dinâmico. À medida que as defesas melhoram, os adversários inovam. O movimento coletivo da indústria em direção à autenticação sem senha, usando métodos como chaves de segurança FIDO2, torna-se ainda mais crítico, já que esses protocolos são inerentemente resistentes a ataques de roubo de token. Por enquanto, as organizações devem mudar seu foco defensivo de apenas proteger o portão (autenticação) para também guardar continuamente os terrenos do palácio (atividade de sessão).
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.