Criminosos usam ligações falsas para induzir usuários a liberar acesso ao Microsoft 365.
Um grupo identificado pela Okta como O-UNC-066 vem atacando empresas com ligações falsas de segurança. A meta é convencer usuários do Microsoft 365 a cadastrar uma nova passkey no Microsoft Entra. O problema é que a passkey registrada pertence ao criminoso, o que garante acesso indevido à conta e abre caminho para extorsão de dados.
A Okta identificou um agente de ameaça rastreado como O-UNC-066 que vem atacando organizações de vários setores com um golpe por telefone. A abordagem simula um pedido de segurança e orienta usuários do Microsoft 365 a registrar uma nova passkey no Microsoft Entra.
Entre os setores citados estão alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação. O objetivo final descrito é obter acesso ao Microsoft 365 e, a partir daí, avançar para ações de extorsão de dados.
O ataque começa com domínios registrados pelos criminosos que carregam a palavra "passkey". Na sequência, a vítima recebe uma ligação — uma técnica conhecida como vishing — em que alguém tenta convencê-la de que precisa cadastrar uma nova forma de acesso com urgência.
A partir daí, a vítima é levada a uma página falsa que copia o processo de cadastro de passkey da Microsoft. Enquanto ela acredita estar reforçando a segurança da própria conta, o invasor registra uma passkey controlada por ele e passa a entrar no Microsoft 365 sem autorização.
A Okta relata ainda que o kit de phishing é operado em tempo real por um atacante. Ele adapta a tela conforme a verificação exigida pela conta, seja um código temporário, uma notificação por aplicativo com número correspondente ou um SMS.
O golpe é perigoso justamente porque usa uma melhoria legítima de segurança como isca. Alguns sinais merecem atenção imediata:
Usuários não devem cadastrar passkeys seguindo orientação recebida em ligação não solicitada. Se alguém disser ser da segurança, do suporte ou da TI, interrompa o processo e confirme por um canal interno conhecido antes de qualquer passo.
Para as empresas, a medida mais eficaz é tratar o cadastro de passkeys como um processo formal. A comunicação precisa deixar claro quando uma campanha de registro é real, por qual canal ela acontece e o que nunca será solicitado por telefone.
É uma forma de acesso que deveria aumentar a segurança da conta. Aqui, os criminosos usam uma página falsa para fazer a vítima cadastrar uma passkey que fica sob controle do invasor.
O relato analisado aponta outro caminho: em vez de roubar apenas senha ou código, o invasor tenta registrar uma nova passkey na conta da vítima para obter acesso.
Nunca siga instruções de cadastro de passkey recebidas por telefone sem confirmar com a equipe interna responsável. A ligação é o ponto de manipulação do golpe.
A LC SEC ajuda sua organização a revisar acessos, fortalecer processos de autenticação e treinar equipes para reconhecer golpes que abusam do Microsoft Entra e do Microsoft 365.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/07/hackers-use-fake-microsoft-entra.html