Ataque de Phishing Abusa do Fluxo de Código de Dispositivo Microsoft com Redirecionamentos Legítimos
Aprofundamento CEVIU
Aprofundamento
O ataque de phishing que explora o fluxo de código de dispositivo OAuth da Microsoft é uma evolução preocupante das táticas cibercriminosas. Este método não tenta enganar a vítima com um site falso. Em vez disso, ele a induz a interagir com páginas de login oficiais da Microsoft, contornando até mesmo a Autenticação Multifator (MFA). O truque está em fazer a vítima inserir um device_code legítimo, obtido pelos atacantes, em uma URL de verificação genuína da Microsoft.
A cadeia de ataque começa com iscas sofisticadas, como PDFs protegidos por senha. Após o usuário passar por um CAPTCHA (uma tática para evitar detecção por bots de segurança), ele é direcionado a uma página que exibe um código único. O usuário então cola este código em uma página de login legítima da Microsoft. Sem perceber, ele está autorizando o acesso de um dispositivo malicioso à sua conta. Uma vez concluída a MFA, os atacantes obtêm tokens de acesso e de atualização, garantindo acesso persistente a e-mails, arquivos do OneDrive e conversas do Teams.
O que mudou
A cobertura anterior do CEVIU News já apontava para a crescente ameaça do phishing por código de dispositivo. Em 12 de março de 2026, noticiamos a “Descoberta de Nova Campanha de Phishing por Código de Dispositivo”, que explorava o fluxo OAuth 2.0 da Microsoft com páginas falsas em Cloudflare Workers, imitando o Adobe Acrobat Sign. Em 4 de junho de 2026, o artigo “Phishing via Device Code na mira: como rastrear ataques de BEC na Microsoft” detalhou a escalada desses ataques em incidentes de Business Email Compromise.
O que a notícia atual mostra é uma adaptação e sofisticação das táticas. Agora, os criminosos usam redirecionamentos legítimos de domínios da Microsoft e Cacoo.com, tornando a detecção visual muito mais difícil. Além disso, a campanha atual tem um foco adaptado para usuários brasileiros, demonstrando a regionalização e personalização dos ataques.
Por que isso importa
Este tipo de ataque representa um desafio significativo para a segurança corporativa, principalmente por sua capacidade de burlar a Autenticação Multifator (MFA), vista como uma barreira robusta. A exploração do Device Code Flow da Microsoft permite que atacantes obtenham acesso persistente a dados sensíveis, mesmo com as melhores práticas de segurança de MFA em vigor. Para as empresas, isso significa que a confiança no domínio da Microsoft como um indicador de segurança não é mais suficiente.
Organizações precisam urgentemente reavaliar suas defesas. Desabilitar o Device Code Flow se não for essencial, monitorar ativamente eventos de DeviceCodeSignIn, e, crucialmente, treinar os usuários para jamais aprovar solicitações de código de dispositivo não solicitadas são medidas mandatórias. A persistência do acesso obtido com tokens de atualização torna a resposta a incidentes ainda mais complexa, exigindo uma detecção e remediação rápidas.
Linha do tempo
Microsoft e Europol desativam plataforma global de phishing Tycoon 2FA que burlava MFA.
Descoberta de Nova Campanha de Phishing por Código de Dispositivo explorando fluxo OAuth 2.0 da Microsoft.
Phishing via Device Code na mira: escalada de ataques de BEC utilizando autenticação por código.
Novo ataque de phishing abusa do fluxo de código de dispositivo Microsoft com redirecionamentos legítimos, visando usuários brasileiros.
Perguntas frequentes
O que é o Device Code Flow da Microsoft e para que serve?
O Device Code Flow é uma extensão do protocolo OAuth 2.0 projetada para simplificar o login em dispositivos com entrada limitada, como TVs inteligentes, IoT ou impressoras. Ele permite que um usuário autorize um dispositivo a acessar sua conta Microsoft usando um smartphone ou PC próximo, digitando um código único em uma página de autenticação oficial.
Como este ataque de phishing consegue contornar a Autenticação Multifator (MFA)?
O ataque explora o Device Code Flow, induzindo a vítima a inserir um código gerado pelos atacantes em uma página de login legítima da Microsoft. Como a MFA é realizada diretamente nesta página oficial, a vítima, sem saber, valida a sessão que o atacante orquestrou, concedendo acesso ao agressor.
Por que é tão difícil detectar este tipo de phishing em comparação com outros?
É difícil de detectar porque o ataque redireciona a vítima para domínios legítimos da Microsoft e de outras plataformas, como Cacoo.com. Os usuários não veem uma URL suspeita, o que quebra a primeira linha de defesa contra phishing. A interação ocorre em páginas que parecem ser totalmente confiáveis.
Quais as principais medidas para se proteger contra o phishing de código de dispositivo?
Empresas devem desabilitar o Device Code Flow se não o utilizarem, monitorar eventos de DeviceCodeSignIn e impor a conformidade de dispositivos. Usuários devem ser treinados para nunca aprovar prompts de código de dispositivo não solicitados, mesmo em páginas de login legítimas da Microsoft, e sempre verificar a origem da solicitação.
Fontes
- securelist.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 13 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

