Um novo aviso preocupante foi emitido pela Microsoft após a descoberta de um novo bug vicioso que pode dar aos criminosos cibernéticos acesso total a contas de e-mail, calendários pessoais e até listas de contatos. A ameaça, que foi descoberta pela primeira vez pelo usuário do Twitter @ffforward, usa um aplicativo falso chamado “Upgrade” que, uma vez instalado em um PC, é capaz de roubar tokens de autenticação no Office 365.
Se uma vítima for enganada e concordar com as permissões totais solicitadas durante o processo de instalação, isso permitirá que os cibercriminosos obtenham acesso completo às suas contas. Isso significa que os ladrões podem encaminhar e-mails, consultar calendários e até enviar mensagens para outros contatos pessoais em uma tentativa de espalhar ainda mais o bug.
A Microsoft está claramente preocupada com a ameaça com o serviço de Inteligência de Segurança da empresa, confirmando que eles estão rastreando o golpe.
Em um post no Twitter, a empresa de Redmond disse: “A Microsoft está rastreando uma recente campanha de phishing de consentimento, relatada por @ffforward, que abusa de links de solicitação OAuth para enganar os usuários a conceder consentimento a um aplicativo chamado ‘Upgrade’.
“As mensagens de phishing induzem os usuários a conceder permissões ao aplicativo que podem permitir que invasores criem regras de caixa de entrada, leiam e escrevam emails e itens de calendário e leiam contatos.
A Microsoft diz que agora conseguiu desativar o aplicativo e está notificando os clientes afetados.
No entanto, se você receber um e-mail solicitando a instalação de um aplicativo chamado “Upgrade”, o conselho ainda é simples. Exclua a mensagem e não permita nenhuma permissão, pois isso pode deixar seu e-mail aberto a ataques.
“Esta é uma campanha de phishing muito inteligente que pode contornar a proteção que vem com a autenticação multifator, disse Jake Moore Global Cybersecurity Advisor da ESET.
“Ele destaca a manipulação poderosa usada em e-mails de phishing direcionados e que a proteção padrão nesta forma de autenticação ainda não é infalível. Os invasores farão grandes esforços para tentar entrar e uma porcentagem de pessoas será facilmente influenciada a entregar esse código em tempo real dando acesso total às suas contas.
“As pessoas devem permanecer alertas a qualquer solicitação de seus códigos de autenticação exclusivos, mas melhor ainda seria confiar em uma chave de segurança física que adiciona um nível de proteção muito mais forte.”
