Os ataques de phishing sofreram mutação. Agora não precisam roubar sua senha nem burlar o MFA. Os cibercriminosos exploram o protocolo OAuth para enganá-lo e fazer com que você autorize um aplicativo malicioso. Ao fazer isso, você cede acesso aos seus dados sem saber, e o MFA não é ativado porque o processo de consentimento está fora da autenticação tradicional. No foro3d.com explicamos como funciona essa ameaça silenciosa.
O mecanismo técnico por trás do ataque OAuth 🛡️
O ataque começa com um link que simula ser de um serviço legítimo, como Google ou Microsoft. Ao clicar, a vítima é redirecionada para a tela de consentimento do OAuth, onde é solicitada permissão para acessar e-mails, contatos ou arquivos. O usuário, confiante, aceita. O atacante recebe um token de acesso que lhe permite interagir com a API do serviço sem precisar de credenciais. O MFA, projetado para proteger o login, não intervém aqui porque o token já foi concedido. A defesa depende de revisar cada permissão solicitada.
O consentimento: a nova porta giratória da segurança 🚪
Acontece que, depois de anos configurando MFA e usando senhas complexas, o elo fraco continua sendo nosso entusiasmo em clicar em tudo que brilha. Agora, em vez de roubarem sua chave, pedem permissão com um formulário bonito e você, como um anfitrião generoso, abre a porta de par em par. Afinal, para que roubar se você pode pedir as chaves educadamente? A ironia é que o MFA fica tão tranquilo, como um porteiro a quem disseram que hoje não trabalha.