Microsoft Entra: golpe com passkey, saiba o risco
Criminosos usam ligações falsas para induzir usuários a liberar acesso ao Microsoft 365.

Resumo rapido
Um grupo identificado pela Okta como O-UNC-066 vem atacando empresas com ligações falsas de segurança. A meta é convencer usuários do Microsoft 365 a cadastrar uma nova passkey no Microsoft Entra. O problema é que a passkey registrada pertence ao criminoso, o que garante acesso indevido à conta e abre caminho para extorsão de dados.
Neste artigo voce vai aprender:
- O que é o golpe de falsa inscrição de passkey no Microsoft Entra.
- Por que a ligação telefônica é parte central da fraude.
- Quais setores foram citados como alvo pela atividade.
- Quais sinais ajudam a identificar uma tentativa de golpe.
- Quais ações práticas reduzem o risco para usuários e empresas.
O que aconteceu
A Okta identificou um agente de ameaça rastreado como O-UNC-066 que vem atacando organizações de vários setores com um golpe por telefone. A abordagem simula um pedido de segurança e orienta usuários do Microsoft 365 a registrar uma nova passkey no Microsoft Entra.
Entre os setores citados estão alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação. O objetivo final descrito é obter acesso ao Microsoft 365 e, a partir daí, avançar para ações de extorsão de dados.
Como o golpe funciona
O ataque começa com domínios registrados pelos criminosos que carregam a palavra "passkey". Na sequência, a vítima recebe uma ligação — uma técnica conhecida como vishing — em que alguém tenta convencê-la de que precisa cadastrar uma nova forma de acesso com urgência.
A partir daí, a vítima é levada a uma página falsa que copia o processo de cadastro de passkey da Microsoft. Enquanto ela acredita estar reforçando a segurança da própria conta, o invasor registra uma passkey controlada por ele e passa a entrar no Microsoft 365 sem autorização.
A Okta relata ainda que o kit de phishing é operado em tempo real por um atacante. Ele adapta a tela conforme a verificação exigida pela conta, seja um código temporário, uma notificação por aplicativo com número correspondente ou um SMS.
Sinais de alerta
O golpe é perigoso justamente porque usa uma melhoria legítima de segurança como isca. Alguns sinais merecem atenção imediata:
- Ligação inesperada pedindo o cadastro de passkey no Microsoft Entra.
- Pressão para agir rápido ou seguir instruções durante a chamada.
- Link recebido por telefone, mensagem ou e-mail para "registrar" a passkey.
- Endereço de site com a palavra "passkey", mas fora dos canais oficiais da empresa.
- Pedido para aprovar notificações, códigos ou etapas de verificação durante a ligação.
O que fazer agora
Usuários não devem cadastrar passkeys seguindo orientação recebida em ligação não solicitada. Se alguém disser ser da segurança, do suporte ou da TI, interrompa o processo e confirme por um canal interno conhecido antes de qualquer passo.
Para as empresas, a medida mais eficaz é tratar o cadastro de passkeys como um processo formal. A comunicação precisa deixar claro quando uma campanha de registro é real, por qual canal ela acontece e o que nunca será solicitado por telefone.
- Revise passkeys adicionadas recentemente em contas Microsoft 365 de usuários sensíveis.
- Oriente equipes a não aprovar códigos ou notificações durante chamadas inesperadas.
- Monitore tentativas de acesso incomuns após o registro de novos métodos de autenticação.
- Mantenha um procedimento claro para reportar ligações suspeitas.
Checklist pratico
- Recebeu ligação pedindo passkey no Microsoft Entra? Desligue e valide com a TI por canal oficial.
- Antes de registrar qualquer método de acesso, confirme se a campanha foi comunicada pela empresa.
- Se você cadastrou uma passkey após uma ligação suspeita, reporte imediatamente à equipe de segurança.
Perguntas frequentes
O que é uma passkey neste golpe?
É uma forma de acesso que deveria aumentar a segurança da conta. Aqui, os criminosos usam uma página falsa para fazer a vítima cadastrar uma passkey que fica sob controle do invasor.
O golpe rouba a senha do Microsoft 365?
O relato analisado aponta outro caminho: em vez de roubar apenas senha ou código, o invasor tenta registrar uma nova passkey na conta da vítima para obter acesso.
Qual é o principal cuidado para usuários?
Nunca siga instruções de cadastro de passkey recebidas por telefone sem confirmar com a equipe interna responsável. A ligação é o ponto de manipulação do golpe.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua organização a revisar acessos, fortalecer processos de autenticação e treinar equipes para reconhecer golpes que abusam do Microsoft Entra e do Microsoft 365.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/07/hackers-use-fake-microsoft-entra.html
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

