Campanhas recentes estão mirando contas Microsoft Entra combinando ligação telefônica e um fluxo legítimo de autenticação (“device code”). O resultado é um cenário perigoso: a vítima completa login e, sem perceber, entrega tokens que viabilizam acesso a serviços e aplicações integradas. Neste artigo, explicamos o que a notícia aponta e como se proteger com ações práticas.

🧠 O que aconteceu

Uma reportagem do BleepingComputer descreve campanhas que miram contas Microsoft Entra usando uma combinação de voice phishing (vishing) e device code phishing. A ideia é simples e traiçoeira: em vez de criar um site falso para roubar senha, o atacante conduz a vítima a um fluxo legítimo do ecossistema Microsoft, abusando do OAuth 2.0 Device Authorization flow.

Esse fluxo existe para um caso real e comum: conectar dispositivos com pouca interface (como TVs, impressoras e dispositivos IoT) a uma conta. Funciona assim: o usuário recebe um código e faz a autenticação em outro dispositivo (normalmente via navegador). Quando tudo dá certo, o dispositivo fica vinculado à conta sem “mexer” diretamente com a senha.

O problema começa quando um atacante usa engenharia social para colocar a vítima dentro desse mesmo roteiro — só que com o atacante esperando do outro lado para capturar o que interessa: tokens (chaves de acesso).

🎯 Quem é impactado e por quê

De acordo com a notícia, os alvos incluem organizações de tecnologia, manufatura e financeiro. O motivo é bem pragmático: ambientes corporativos com Entra tendem a ter muitos serviços integrados, e uma conta comprometida pode abrir caminho para múltiplas aplicações conectadas via SSO (single sign-on / login único).

Em outras palavras: não é “só um login”. Em ambientes integrados, um login pode ser o crachá para entrar em várias portas — e algumas dessas portas dão acesso a dados sensíveis.

🧪 O que a notícia indica (técnicas/sinais)

O que dá para afirmar com segurança

A notícia descreve que os atacantes:

  • Abusam do device authorization flow do OAuth 2.0 para obter tokens associados à conta da vítima.
  • Usam engenharia social (incluindo ligação telefônica) para convencer a pessoa a inserir o user_code em uma página legítima de autenticação e concluir login/MFA.
  • Podem utilizar client IDs legítimos e até apps conhecidos/legítimos, o que aumenta a “cara de normal” do processo aos olhos da vítima.
  • Após a autenticação, tokens podem ser usados para acessar serviços Microsoft e também aplicações SaaS integradas via SSO no tenant.

✅ Como se proteger

Checklist rápido

  • Revise sign-in logs e procure eventos relacionados a device code (principalmente em horários incomuns ou para usuários que não usam esse fluxo).
  • Audite e revogue consentimentos OAuth que não façam sentido para o usuário/área.
  • Desative o device code flow quando não houver necessidade real no ambiente.
  • Aplique Conditional Access (acesso condicional) para reduzir risco em autenticações fora do padrão (ex.: exigir contexto/condições mais rígidas).
  • Padronize validação de solicitações por telefone: urgência + pedido de código/login = “pare e valide por canal oficial”.

🛡️ Como a Neologik ajuda: Neologik Safe

O Neologik Safe apoia na prática onde esse tipo de ataque dói: identidade, governança e resposta.
Ele ajuda a estruturar políticas, visibilidade e rotina operacional para detectar e reagir quando o ataque usa “login legítimo” como arma — sem depender de heroísmo do usuário final.
https://neologik.com.br/solucoes#safe

🔗 Referências

[BleepingComputer] (19/02/2026) — https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/

Leia mais

A Neologik é uma empresa de tecnologia especializada em infraestrutura, nuvem, cibersegurança e backup corporativo, oferecendo soluções completas para negócios que buscam eficiência, segurança e evolução digital.

Quem somosSoluçõesTech TrendsJunte-se a nósFale conosco
CNPJ: 46.344.226/0001-00
Av. Engenheiro Luís Carlos Berrini, 1748
© 2025 Neologik — Tecnologia para evoluir, não para complicar.
Política de Privacidade
WhatsApp