Nova onda de ataques ‘TOAD’ explora convites do Microsoft Entra para burlar filtros de segurança
Quantum News 
Cibercriminosos utilizam infraestrutura legítima da Microsoft para enganar vítimas em golpes telefônicos sofisticados
Uma nova e sofisticada campanha de phishing foi identificada por pesquisadores de segurança, marcando uma evolução perigosa nas táticas de cibercrime. Batizada de TOAD (Telephone-Oriented Attack Delivery, ou Entrega de Ataque Orientada por Telefone), a técnica explora uma funcionalidade legítima do Microsoft Entra (antigo Azure Active Directory) para contornar filtros de spam e enganar usuários corporativos.
Como funciona o ataque
Diferente dos golpes tradicionais que utilizam endereços de e-mail falsos, esta campanha abusa do sistema de convites de usuários convidados (guest users) da própria Microsoft. Os atacantes enviam e-mails a partir do endereço oficial [email protected], o que garante que a mensagem chegue à caixa de entrada da vítima, passando despercebida pela maioria das soluções de segurança de e-mail.
O “pulo do gato” está no campo de mensagem personalizável do convite. Os criminosos preenchem este espaço com um texto convincente sobre uma suposta pendência financeira ou necessidade de renovação de assinatura do Microsoft 365. Em vez de incluir um link malicioso — que poderia ser detectado por sistemas automatizados —, a mensagem instrui a vítima a ligar para um número de telefone de “suporte” para resolver o problema.
Engenharia social por voz
Ao ligar para o número fornecido (relatos indicam o uso de números como 1-805-294-8531 nos EUA), a vítima é atendida por um operador humano que finge ser um técnico da Microsoft. A partir daí, o golpe segue o roteiro clássico de engenharia social: o falso atendente convence o usuário a baixar ferramentas de acesso remoto, roubar credenciais de acesso ou autorizar pagamentos fraudulentos.
Sinais de alerta
O pesquisador de segurança Michael Taggart, que analisou a campanha, identificou que os atacantes criam tenants (ambientes) no Microsoft Entra com nomes que soam legítimos para aumentar a credibilidade, tais como:
- Unified Workspace Team
- CloudSync
- Advanced Suite Services
- TenantHub
Esta tática representa um desafio significativo para as equipes de defesa cibernética, pois explora a confiança inerente que os usuários têm em comunicações vindas de domínios oficiais. Especialistas recomendam que as organizações orientem seus colaboradores a nunca confiar cegamente em números de telefone fornecidos em e-mails, mesmo que pareçam vir de fontes oficiais, e a sempre verificar o status de suas assinaturas diretamente nos portais administrativos conhecidos.
