Microsoft alerta sobre golpe que ataca logins sem senha

No último mês de março, a Microsoft divulgou uma série de campanhas de phishing que exploram o comportamento legítimo do protocolo OAuth, o padrão amplamente utilizado para autenticação em serviços como o botão “Entrar com o Google”, para redirecionar vítimas a páginas e arquivos maliciosos. O diferencial do ataque é que ele não depende do roubo de credenciais: a cadeia de infecção avança mesmo quando a autenticação falha completamente. As campanhas têm como alvo prioritário organizações governamentais e do setor público. O que é OAuth e por que ele é exploradoOAuth é um protocolo de autorização — um conjunto de regras padronizadas que permite que um sistema confirme a identidade de um usuário e autorize o acesso a recursos em seu nome. É o mecanismo por trás de botões como “Entrar com o Google” ou “Entrar com a Microsoft”. O protocolo inclui um mecanismo nativo de redirecionamento que entra em ação quando ocorre um erro durante a autenticação. Em condições normais, esse redirecionamento leva o usuário de volta a uma página segura previamente definida pelo desenvolvedor do aplicativo, o chamado URI de redirecionamento, que é a base para a criação de endereços na internet, incluindo URLs. Como o erro de autenticação é provocado de propósitoOs atacantes perceberam que é possível registrar um aplicativo falso dentro de plataformas como o Microsoft Entra ID ou o Google Workspace e configurar esse destino para apontar a um servidor sob seu controle. Para acionar o redirecionamento, os atacantes combinam dois recursos previstos na própria especificação do OAuth.