Resumo
A empresa de cibersegurança ESET alerta para a nova técnica de phishing EvilTokens, que compromete contas Microsoft 365 sem roubar credenciais, explorando o fluxo legítimo de autenticação OAuth 2.0 Device Code. Os atacantes obtêm acesso autorizado ao manipular utilizadores, eliminando sinais de alerta tradicionais. Após reconhecimento da conta alvo, enviam emails simulando documentos partilhados, levando a vítima a uma página fraudulenta que solicita um código de dispositivo, concedendo acesso aos criminosos. Esta técnica, que engana mesmo utilizadores atentos, representa uma evolução perigosa no phishing, explorando a confiança em processos legítimos. A autenticação multifator não elimina estes riscos, indicando uma mudança na cibercriminalidade para explorar a confiança dos utilizadores.
A , maior empresa europeia de cibersegurança, alerta para o aparecimento de uma nova e sofisticada técnica de phishing denominada EvilTokens, que está a ser utilizada pelos cibercriminosos para comprometer contas Microsoft 365 sem necessidade de roubar credenciais ou criar páginas falsas de autenticação.
A ameaça, identificada em campanhas ativas desde pelo menos fevereiro de 2026, explora o fluxo legítimo de autenticação OAuth 2.0 Device Code da Microsoft, permitindo aos atacantes obter acesso autorizado a contas através da manipulação dos próprios utilizadores.
Segundo a , esta abordagem representa uma evolução significativa das técnicas tradicionais de phishing, uma vez que elimina muitos dos sinais de alerta que normalmente ajudam as vítimas a identificar uma tentativa de fraude.
Os EvilTokens demonstram que os atacantes já não dependem exclusivamente do roubo de palavras-passe para comprometer uma organização. Estamos perante uma técnica que explora a confiança dos utilizadores em processos legítimos de autenticação, transformando-os involuntariamente em participantes do ataque
Ricardo Neves, Responsável de Comunicação da ESET Portugal.
Antes da tentativa de comprometimento, os atacantes realizam uma fase de reconhecimento para validar se a conta alvo se encontra ativa. Posteriormente, enviam um email ou uma mensagem que simulam documentos partilhados, faturas, convites para reuniões ou pedidos de acesso a plataformas empresariais.
Ao clicar na ligação, a vítima é encaminhada para uma página fraudulenta, que imita uma marca ou serviço confiável, com frases simples como "Verifique para visualizar" ou "Assinatura necessária" e apresenta um código de dispositivo e instrui o utilizador a introduzi-lo no portal legítimo de autenticação da Microsoft.
A vítima, inadvertidamente, autentica-se e aprova a sessão iniciada pelo atacante. Como consequência, são emitidos tokens válidos de acesso e atualização que permitem aos criminosos aceder a serviços como Outlook, Teams, SharePoint, OneDrive e outros recursos associados à conta comprometida. Ou seja, todo o processo ocorre através de páginas legítimas da Microsoft.
O fluxo de código de dispositivo OAuth foi projetado para dispositivos nos quais o login direto pode ser complicado, como Smart TVs ou impressoras. O dispositivo exibe um código curto que o utilizador insere numa página da Microsoft noutro dispositivo, geralmente um smartphone, e conclui a autenticação. A Microsoft emite os tokens de acesso para o dispositivo que solicitou o acesso.
Essa separação é útil, mas abre espaço para abusos. Os atacantes podem gerar o código e enganar a vítima para que o insira, enquanto a Microsoft vê apenas um fluxo de autenticação válido.
Os EvilTokens representam uma mudança importante no panorama das ameaças, uma vez que reduz a eficácia de alguns dos mecanismos de deteção mais utilizados pelos colaboradores.
Durante anos instruímos os utilizadores a verificar URLs suspeitos, erros ortográficos ou páginas de login falsas. Neste caso, a página é verdadeira, o domínio é legítimo e o processo de autenticação funciona exatamente como esperado. O que está a ser explorado é o contexto e não a tecnologia, refere Ricardo Neves
Além disso, a técnica demonstra que a autenticação multifator (MFA), embora continue a ser indispensável, não elimina todos os riscos associados à engenharia social.
Como reduzir o risco?
Para a ESET, o surgimento dos EvilTokens confirma uma tendência crescente no ecossistema da cibercriminalidade: a exploração de mecanismos legítimos e da confiança dos utilizadores em vez da exploração direta de vulnerabilidades técnicas. «Os atacantes estão a adaptar-se às melhorias tecnológicas implementadas pelas organizações.
Quando já não conseguem roubar palavras-passe, procuram formas de convencer os utilizadores a conceder acesso por iniciativa própria. É precisamente isso que torna os EvilTokens particularmente perigosos», conclui Ricardo Neves.
Fonte: Pplware






