É oficial. [email protegido] não é mais seguro.
Se você recebeu recentemente uma mensagem de texto com um link estranho ou um assunto de e-mail que parece um pouco urgente demais, verifique o remetente. Se estiver escrito esse endereço – bingo. É a Microsoft. É real. E esse é o problema.
Os golpistas não estão falsificando o domínio. Eles estão transformando o sistema real em uma arma.
A exploração da confiança
Somos ensinados a verificar os endereços dos remetentes. Se for @microsoft.com, deve ser legítimo, pensamos. Não mais.
Os invasores descobriram uma maneira inteligente e de baixa tecnologia de sequestrar o mecanismo de notificação. Eles não precisam invadir os servidores da Microsoft. Eles só precisam alugar um.
Aqui está a jogada, detalhada pela empresa de segurança cibernética Abnormal:
- O malfeitor cria uma conta descartável do Microsoft 36.
- Eles vão para as configurações de marca do locatário (especificamente no Microsoft Entra ID).
- Eles alteram o campo “Nome” desse inquilino para a própria mensagem fraudulenta. Um alerta financeiro falso. Um aviso de phishing. O que quer que chame sua atenção.
- Eles desencadeiam uma ação automatizada que força a Microsoft a enviar um email à vítima. Freqüentemente, isso envolve pedir para adicionar o e-mail da vítima à conta.
Como o sistema da Microsoft está enviando a notificação, ele usa o endereço legítimo [email protected].
O conteúdo do e-mail? Mínimo.
Sem anexos maliciosos. Nenhum hiperlink assustador que leve a uma página de login falsa. Apenas uma linha de assunto e talvez um pouco do corpo do texto. O texto? Esse é o campo “Nome” que o invasor editou anteriormente. Ele fica no cabeçalho ou no corpo como dados brutos de uma fonte confiável.
A principal exploração está na configuração do Microsoft Entra ID.
Seus filtros de spam analisam o remetente. Eles veem a Microsoft. Eles deixaram passar. Não há assinaturas de malware nas quais você possa tropeçar. O e-mail é tecnicamente limpo, embora a intenção seja maliciosa.
Há quanto tempo isso está acontecendo?
Por um tempo.
Você deve ter notado pessoas reclamando disso no Twitter ultimamente, mas Abnormal escreveu sobre essa tática em janeiro. Os maus atores adoram eficiência. Se um método funcionar, milhares irão copiá-lo. E esse método? Ele ignora as camadas de segurança mais caras porque depende de confiança.
Por que seu provedor de e-mail bloquearia um e-mail proveniente diretamente de um processo de verificação de locatário da Microsoft? Não deveria. Até que deveria.
A Microsoft ainda não divulgou uma declaração pública ou correção para esse abuso específico de marca, de acordo com relatórios.
Então você está sozinho.
O que você faz agora?
Ignore o endereço do remetente.
Observe o contexto. Você pediu à Microsoft para alterar o nome do seu locatário? Provavelmente não. A linha de assunto parece uma notificação genérica ou contém uma demanda específica?
“O invasor navega até as propriedades do locatário…”
Isso parece chato. Isso soa como papelada de TI. Mas essa papelada chata é a arma.
Mantenha os olhos abertos. Se chegar um e-mail desse endereço e você não esperava nada, faça uma pausa. Verifique o URL na barra de endereço do seu navegador, não nos links de e-mail. Exclua os bits suspeitos.
A internet não é mais segura. É simplesmente conveniente.
Tenha cuidado lá fora.
