Microsoft 365 sob phishing, saiba como agir
Jalisco e OmegaLord tentam driblar MFA usando autorização de dispositivo e páginas falsas.

Resumo rapido
Dois novos kits de phishing, batizados de Jalisco e OmegaLord, foram identificados em ataques contra contas Microsoft 365. Os dois tentam contornar a autenticação multifator, a MFA, por meio de engenharia social. O risco é alto porque a vítima pode aprovar o acesso sem perceber que está entregando a conta a outra pessoa.
Neste artigo voce vai aprender:
- Quais são os dois kits citados na investigação.
- Como o Jalisco usa o fluxo de autorização de dispositivo da Microsoft.
- Como o OmegaLord se passa por leitor de PDF.
- Quais sinais devem acender alerta em usuários do Microsoft 365.
- Quais ações práticas reduzem o risco de queda no golpe.
O que aconteceu
Pesquisadores da ReliaQuest analisaram dois kits de phishing usados contra contas Microsoft 365: Jalisco e OmegaLord. Segundo o relato publicado pelo BleepingComputer, os dois apareceram em ataques que miram justamente a proteção de MFA. Em termos simples, a MFA é aquela etapa extra de confirmação no login, como aprovar uma solicitação, inserir um código ou usar um segundo fator além da senha.
O detalhe que muda tudo é este: os criminosos não dependem só de roubar uma senha. Eles trabalham para que a própria vítima complete uma etapa legítima de login ou entregue dados que ajudam a controlar a conta.
Como os golpes funcionam
O Jalisco se apoia numa técnica conhecida como phishing por código de dispositivo. O criminoso inicia uma tentativa de entrada em um serviço Microsoft, como o Microsoft 365, e recebe um código de autorização. Em seguida, usando engenharia social, convence a vítima a abrir a página legítima de login da Microsoft e digitar esse código.
Ao fazer isso, a vítima não está apenas "confirmando um código": ela está autorizando um dispositivo controlado pelo atacante. Com o dispositivo aprovado, o invasor entra na conta sem precisar saber o nome de usuário ou a senha.
O OmegaLord segue por outro caminho. Ele se disfarça de leitor de PDF e coleta credenciais de login e números de telefone associados à conta. Esses dados ajudam o criminoso a interceptar, redirecionar ou assumir o controle de solicitações e códigos de MFA.
Sinais de alerta
Alguns sinais merecem atenção imediata em ambientes que usam Microsoft 365:
- Pedido inesperado para digitar um código em uma página da Microsoft.
- Mensagem dizendo que é preciso autorizar um dispositivo, mesmo sem você ter iniciado login.
- Arquivo ou página que se apresenta como leitor de PDF e pede credenciais do Microsoft 365.
- Solicitação de telefone junto com usuário e senha, sem contexto claro.
- Pressão para agir rápido, especialmente por email, chat ou mensagem externa.
Há um ponto especialmente traiçoeiro no Jalisco: a página de login pode ser autêntica. A armadilha está no código que a vítima é levada a inserir.
Como se proteger agora
A primeira regra é simples: não digite códigos de autorização recebidos por orientação de terceiros. Se você não iniciou o processo de login, não aprove solicitações e não insira códigos.
- Oriente colaboradores a desconfiar de pedidos que envolvam Microsoft 365, códigos e aprovação de dispositivo.
- Trate como suspeita qualquer página que peça login e telefone sem um contexto claro.
- Se alguém digitou um código, senha ou telefone em uma página suspeita, acione o time de segurança na hora.
- Inclua exemplos de phishing por código de dispositivo nos treinamentos de conscientização.
O episódio confirma que a MFA continua essencial, mas não anula golpes baseados em convencimento humano. A proteção precisa combinar tecnologia, processos e educação.
Checklist pratico
- Verifique se o usuário realmente iniciou o login antes de aprovar qualquer solicitação do Microsoft 365.
- Nunca insira códigos recebidos por email, chat ou ligação sem validação com o suporte interno.
- Desconfie de leitores de PDF que peçam conta Microsoft 365, senha e telefone.
- Reporte imediatamente qualquer aprovação acidental ou preenchimento de dados em página suspeita.
- Treine a equipe com exemplos reais de Jalisco, OmegaLord e phishing contra MFA.
Perguntas frequentes
O MFA deixou de funcionar?
Não. A MFA segue como uma camada importante de defesa. O problema é que esses golpes tentam enganar a pessoa para que ela mesma aprove o acesso ou entregue informações úteis ao atacante.
O que torna o Jalisco perigoso?
Ele usa uma página legítima de login da Microsoft e induz a vítima a digitar um código que autoriza um dispositivo controlado pelo criminoso.
O que fazer se alguém caiu no golpe?
A pessoa deve avisar imediatamente o time de segurança ou TI. Quanto mais rápido o incidente for tratado, menor a chance de uso indevido da conta Microsoft 365.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua organização a reduzir riscos de phishing contra Microsoft 365 com conscientização, inteligência de ameaças, governança de MFA e resposta orientada a incidentes.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

