Read in English 

Eu já abordei anteriormente o tema das Passkeys e a sua relevância, mas esta semana fomos confrontados com um incidente de phishing com consequências bastante sérias.

De forma resumida, uma conta de e-mail interna foi comprometida. Utilizando esta conta, os atacantes enviaram e-mails de phishing a centenas de colegas. O conteúdo destes e-mails era aparentemente inofensivo, informando sobre a partilha de um ficheiro.

Ao clicar no link fornecido, os utilizadores eram redirecionados para uma página web que exibia uma mensagem indicando que um documento PDF tinha sido partilhado e estava disponível para visualização.

No entanto, ao prosseguir, os utilizadores eram encaminhados para uma página que solicitava as credenciais da conta Microsoft. Esta página, apesar de parecer segura e contar com certificado SSL, escondia uma armadilha. 

O truque aqui é perceber que, se a página de login não corresponder ao endereço oficial da Microsoft, login.microsoftonline.com, então não se deve inserir quaisquer dados de acesso. O que está a acontecer é que esta página fraudulenta atua como um intermediário entre o utilizador e a Microsoft, conseguindo assim capturar as credenciais inseridas e depois o token MFA.

Algumas equipas de segurança já desenvolveram técnicas que alertam os utilizadores quando a página de login não é a oficial.

Contudo, surpreende-me que a Microsoft ainda não tenha implementado um sistema de verificação semelhante de forma nativa em todos os seus serviços. Acredito que uma empresa com os recursos da Microsoft poderia facilmente integrar esta funcionalidade em todos os clientes em cerca de 30 minutos, aumentando significativamente a segurança dos utilizadores.