Chaves de acesso do Microsoft Entra sob ataque

As chaves de acesso do Microsoft Entra vêm sendo promovidas como uma das tecnologias mais seguras para substituir senhas e reduzir ataques de phishing. No entanto, pesquisadores da Okta identificaram uma campanha sofisticada que mostra que, embora as passkeys sejam resistentes ao roubo tradicional de credenciais, elas ainda podem ser exploradas quando criminosos conseguem manipular a vítima por meio de engenharia social.

O novo golpe combina vishing (phishing por voz), um painel de phishing operado em tempo real e o registro de uma passkey controlada pelo próprio invasor na conta da vítima. Em vez de tentar quebrar a criptografia das passkeys, os criminosos convencem o usuário a autorizar involuntariamente a inclusão de uma nova chave de acesso legítima, que passa a pertencer ao atacante.

A descoberta ocorre justamente em um momento em que a Microsoft intensifica a adoção da autenticação sem senha em ambientes corporativos. O caso serve como um alerta importante para administradores de TI, equipes de segurança e empresas que estão migrando para um modelo baseado em passkeys no Microsoft Entra.

Como funciona o ataque de vishing contra o Microsoft Entra

O ataque começa muito antes de qualquer página de phishing aparecer.

Os criminosos entram em contato com a vítima por telefone utilizando técnicas de vishing, geralmente se passando por integrantes do suporte técnico, da equipe de TI ou até mesmo de fornecedores da empresa. O objetivo é criar um senso de urgência, alegando problemas de segurança, bloqueios de conta ou necessidade imediata de validação de identidade.

Durante a conversa, a vítima recebe um link que direciona para um portal extremamente semelhante ao ambiente oficial da Microsoft.

Até esse ponto, o golpe parece semelhante a diversas campanhas de phishing conhecidas. A grande diferença aparece nos bastidores.

n2q0DH8F de acesso microsoft entra passkeys vishing

O papel do kit de phishing em tempo real

Em vez de utilizar um tradicional ataque Adversary-in-the-Middle (AitM), os criminosos operam um painel interativo em tempo real.

Isso significa que existe um operador humano acompanhando cada etapa do acesso da vítima.

À medida que o usuário informa sua senha ou recebe desafios de autenticação, o operador replica imediatamente essas informações no portal legítimo da Microsoft.

O painel consegue acompanhar diferentes métodos de MFA, incluindo:

  • Códigos SMS;
  • Aplicativos OTP;
  • Notificações Push;
  • Outros desafios de autenticação suportados pelo Microsoft Entra.

Em vez de automatizar completamente o processo, o criminoso adapta suas ações conforme cada etapa apresentada pela Microsoft. Isso aumenta significativamente a taxa de sucesso do golpe.

Na prática, a vítima acredita estar apenas confirmando sua identidade enquanto, do outro lado, o invasor está autenticando uma sessão legítima.

O passo a passo da fraude contra as chaves de acesso do Microsoft Entra

Segundo a análise da Okta, o kit de phishing possui uma sequência organizada de páginas que conduz a vítima até o momento em que o invasor registra sua própria chave de acesso.

O fluxo ocorre aproximadamente da seguinte forma:

Página /gate

A vítima acessa o portal inicial, onde o sistema verifica informações básicas antes de iniciar o processo de autenticação.

Página /identify

O usuário informa seu endereço de e-mail corporativo ou sua conta do Microsoft 365.

Página de senha

Em seguida, a senha é solicitada em uma interface praticamente idêntica à utilizada pela Microsoft.

Nesse momento, o operador já utiliza essas credenciais para iniciar uma autenticação legítima.

Página /processing

Enquanto a vítima aguarda uma suposta validação de segurança, o painel sincroniza as informações com a sessão aberta pelo criminoso.

Página /submit-otp

Caso seja solicitado um código MFA ou outra forma de autenticação, a vítima é orientada a inseri-lo imediatamente.

Como o operador trabalha em tempo real, esse código é utilizado antes mesmo de expirar.

Página /passkey/register

É justamente aqui que ocorre a inovação do golpe.

Após concluir a autenticação legítima, o criminoso acessa as configurações da conta e inicia o registro de uma nova passkey.

Essa nova chave de acesso não pertence ao usuário.

Ela é criada utilizando um dispositivo controlado pelo invasor.

Ao finalizar esse registro, o criminoso passa a possuir uma credencial extremamente resistente à revogação automática, permitindo retornar posteriormente à conta comprometida sem depender da senha roubada.

A cortina de fumaça das 12 palavras de recuperação

Uma das partes mais engenhosas da campanha é a distração utilizada enquanto o registro da passkey acontece.

Durante alguns segundos, o usuário recebe instruções para copiar ou anotar uma sequência de 12 palavras, semelhante às frases mnemônicas utilizadas por carteiras de criptomoedas.

Na prática, essas palavras não têm qualquer relação com o processo oficial da Microsoft.

Seu verdadeiro objetivo é ocupar a atenção da vítima enquanto o operador conclui o registro da passkey maliciosa no ambiente legítimo do Microsoft Entra.

Essa estratégia reduz a chance de que o usuário perceba mudanças inesperadas na conta durante aquele curto intervalo.

O uso de distrações psicológicas como essa demonstra que ataques modernos dependem tanto de engenharia social quanto de conhecimento técnico.

Quem está por trás da campanha de ataques?

A campanha foi atribuída pela Okta ao cluster O-UNC-066, também relacionado ao agrupamento CL-CRI-1147.

Segundo os pesquisadores, existem fortes indícios de ligação com o coletivo criminoso conhecido como The Com, um ecossistema informal composto por diversos grupos especializados em invasões corporativas.

Entre os nomes frequentemente associados a esse coletivo estão grupos altamente conhecidos no cenário da cibersegurança, como Scattered Spider e LAPSUS$.

Esses grupos ganharam notoriedade por utilizar uma combinação de:

  • Engenharia social;
  • Roubo de credenciais;
  • Ataques contra centrais de atendimento;
  • Fraudes envolvendo autenticação multifator;
  • Extorsão de dados.

O foco principal costuma ser grandes empresas, provedores de serviços, organizações financeiras e ambientes corporativos baseados em Microsoft 365.

Como proteger sua organização contra o roubo de passkeys no Microsoft Entra

O incidente reforça uma lição importante: passkeys não eliminam a engenharia social.

Embora sejam muito mais resistentes ao phishing convencional do que senhas, elas ainda dependem de decisões humanas durante seu processo de cadastro.

Por isso, organizações precisam ampliar sua estratégia de defesa.

Entre as principais recomendações estão:

  • Treinar funcionários para identificar tentativas de vishing e ligações falsas de suporte técnico.
  • Estabelecer procedimentos oficiais para que equipes de TI nunca solicitem autenticações por telefone.
  • Monitorar constantemente novos registros de passkeys nas contas do Microsoft Entra.
  • Auditar alterações de métodos de autenticação, principalmente em contas privilegiadas.
  • Implementar alertas automáticos para inclusão de novas chaves de acesso.
  • Aplicar o princípio do menor privilégio, reduzindo o impacto caso uma conta seja comprometida.
  • Utilizar monitoramento contínuo para detectar comportamentos anômalos após novos registros de autenticação.

Além do acesso não autorizado, campanhas desse tipo frequentemente evoluem para roubo de dados corporativos, movimentação lateral, extorsão e até divulgação de informações em sites utilizados por grupos criminosos, como o conhecido Pink.

À medida que tecnologias de autenticação evoluem, os atacantes também adaptam suas estratégias. Em vez de tentar quebrar mecanismos criptográficos complexos, eles exploram o elo mais vulnerável da cadeia: o comportamento humano. Isso demonstra que investir apenas em tecnologias modernas não é suficiente. A combinação entre autenticação forte, monitoramento contínuo e capacitação dos usuários continua sendo a melhor defesa contra campanhas sofisticadas de engenharia social.