Phishing via Device Code na mira: como rastrear ataques de BEC na Microsoft
Aprofundamento CEVIU
Aprofundamento
O phishing via device code não é um novo fluxo de autenticação, é uma técnica que explora o OAuth Device Code, projetado para TVs, CLIs e dispositivos sem teclado. O atacante gera um código curto, envia-o à vítima por e-mail ou chat e redireciona-a a inseri-lo em um domínio legítimo (como login.microsoftonline.com). Mas o domínio usado na etapa final muitas vezes é controlado pelo criminoso via subdomínios maliciosos ou DNS comprometido. Quando a vítima insere o código, o token de acesso e o refresh token são emitidos, e ambos podem durar até 90 dias, mesmo sem senha ou MFA. Isso explica por que relatórios recentes da Huntress e CyberAlberta apontam mais de 340 organizações atingidas desde fevereiro de 2026, com foco em setores que dependem de colaboração assíncrona: construção, imobiliário, saúde e jurídico.
Os kits PhaaS como Kali365 (vendido por $250/mês no Telegram) e EvilTokens automatizam esse processo com iscas geradas por IA: 'SharePoint, Documento Compartilhado', 'Teams, Convite de Reunião Urgente' ou até PDFs de holerite com QR codes. Diferente de ataques tradicionais, aqui não há link suspeito nem anexo executável, só um código numérico e um domínio que parece oficial. A Microsoft já bloqueia o device code por padrão em novos tenants desde fevereiro de 2025, mas ambientes legados e políticas mal configuradas ainda deixam brechas críticas.
O que mudou
A cobertura anterior do CEVIU, de 25 de maio, já havia identificado o Kali365 como uma ameaça emergente, mas o relatório atual traz evidências operacionais concretas: detecção em tempo real via logs do Entra ID, consultas KQL específicas para correlacionar erro 50199 + sucesso subsequente, e a confirmação de que o Session ID compartilhado entre atacante e vítima torna a análise forense mais complexa do que o previsto. Também é nova a orientação prática sobre o uso de linkable token IDs (disponíveis desde julho de 2025), agora aplicados diretamente a incidentes reais de BEC, algo ausente nos relatos anteriores, que se limitavam à descrição da tática.
Por que isso importa
Esse tipo de ataque escapa aos filtros tradicionais de e-mail e não exige engenharia social sofisticada: basta uma isca plausível e um código curto. Como os tokens roubados têm vida útil longa e permitem acesso direto ao Outlook, OneDrive e Teams, o impacto vai além do roubo de dados, inclui redirecionamento de pagamentos, alteração de contas bancárias em e-mails de fornecedores e manipulação de documentos financeiros. Para CISOs, isso significa que políticas de Acesso Condicional não são um 'bônus'; são a primeira linha de defesa efetiva. Bloquear device code globalmente ou restringi-lo a IPs confiáveis e dispositivos gerenciados reduz drasticamente a superfície de ataque, e já está disponível há mais de um ano nas configurações do Entra ID.
Linha do tempo
Microsoft lança identificadores de token vinculáveis (linkable token IDs) para Entra ID
CEVIU reporta detecção do kit PhaaS Kali365, vendido via Telegram para ataques a Microsoft 365
Pesquisadores detalham técnicas forenses para rastrear phishing via device code em incidentes de BEC
Perguntas frequentes
Por que o phishing via device code é mais perigoso que um e-mail falso com link malicioso?
Porque ele não depende de clicar em links suspeitos nem baixar arquivos. A vítima acessa um domínio legítimo da Microsoft e digita um código, ação que parece segura. O token gerado dá acesso completo à conta por até 90 dias, mesmo com MFA habilitado.
O que é um 'linkable token ID' e como ele ajuda na investigação?
É um identificador único (UTI) ou baseado em sessão (SID) que a Microsoft injeta em todos os eventos de autenticação. Ele permite correlacionar logins, refresh tokens e acessos a aplicativos mesmo quando não há interação direta do usuário, essencial para rastrear cadeias de ataque em BEC.
Posso bloquear o device code sem quebrar ferramentas como Azure CLI ou VSCode?
Sim. Em vez de desabilitar globalmente, use Políticas de Acesso Condicional para restringir o device code apenas a usuários específicos (ex.: equipe de DevOps), locais geográficos ou dispositivos gerenciados. Assim, ferramentas legítimas continuam funcionando, mas ataques em massa são impedidos.
Essa tática afeta apenas empresas com Microsoft 365?
Principalmente sim, porque depende do fluxo de autenticação do Entra ID. Mas há sinais de adaptação: pesquisadores já observaram tentativas de usar o mesmo padrão contra provedores que suportam OAuth Device Code, como GitHub e Dropbox, embora ainda sem escala operacional.
Fontes
- research.eye.securityfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 04 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
