A Microsoft emitiu um alerta sobre uma campanha massiva de phishing que já terá afetado cerca de 35.000 utilizadores em 26 países, representando uma das operações de cibercrime mais sofisticadas detetadas em 2026.
De acordo com a equipa de segurança Microsoft Defender, os atacantes estão a enviar e-mails que simulam comunicações internas de departamentos de Recursos Humanos e de conformidade, usando temas como “revisão do código de conduta” ou “casos disciplinares” para induzir as vítimas em erro.
O objetivo da campanha é o roubo de credenciais de acesso, com especial foco em contas Microsoft, incluindo o Outlook. Os e-mails são concebidos para criar urgência e credibilidade, levando os utilizadores a clicar em ligações ou documentos aparentemente legítimos.
Segundo a Microsoft, o aspeto mais preocupante desta campanha é a capacidade dos atacantes para intercetar tokens de autenticação em tempo real, permitindo contornar a autenticação multifator (MFA). Na prática, isto possibilita o acesso às contas sem gerar alertas de segurança tradicionais.
Os ataques utilizam técnicas conhecidas como “Adversary-in-the-Middle”, nas quais os criminosos se posicionam entre o utilizador e o serviço legítimo, capturando dados de sessão durante o início de sessão. Desta forma, conseguem reutilizar tokens já validados para aceder às contas sem necessidade de nova autenticação.
Os e-mails incluem frequentemente anexos ou links que direcionam as vítimas para páginas falsas, criadas para imitar serviços reais. Estas páginas podem até apresentar verificações de segurança falsas, como CAPTCHAs, reforçando a sensação de legitimidade.
A Microsoft alerta que este tipo de ataque não visa apenas palavras-passe, mas sobretudo o sequestro de sessões ativas, o que aumenta significativamente o impacto potencial, mesmo em contas protegidas com autenticação multifator.
