FBI alerta para golpe que consegue roubar contas da Microsoft mesmo sem a senha do usuário
Learn more about your ad choices. Visit megaphone.fm/adchoices
Ana Letícia Loubak
- Vulnerabilidade Microsoft Edge senhasPhishing · Kali 365 · Microsoft · FBI · Token de acesso · Autenticação de dois fatores · Telegram
- Crimes CiberneticosNão inserir códigos em páginas não solicitadas · Deletar e-mails suspeitos · Encerrar sessões ativas · Gestores de TI restringindo fluxo de autenticação
- Carro Dili EX5 EMIAutonomia combinada · Modo elétrico
- Trilha: Especialistas em perguntasInteligência aplicada · B3
Tem podcast que te inspira a conhecer lugares novos, a ir mais longe. É como o Dili EX5 EMI. Conheça o super híbrido plug-in com até 1.300 km de autonomia combinada, com conforto de primeira classe. E na cidade você roda no modo 100% elétrico. Com esse SUV, cada caminho leva você mais longe. Dili EX5 EMI. Sua grande jornada começa agora. Saiba mais em dilibrasil.com.br
No trânsito, enxergar o outro é salvar vidas. CBN Tecnologia. Uma parceria TecTudo.
Ana Letícia Lobach, editora de celulares do TecTudo, deixou gravado o seu comentário. Olá, ouvintes da CBN. Tudo bem por aí? O FBI emitiu um alerta sobre uma nova ameaça que rouba contas da Microsoft, olha só, sem precisar de senha. É uma plataforma de phishing chamada Kali 365.
E phishing, para quem não sabe, é aquele golpe muito comum na internet em que os criminosos se passam por alguma empresa ou por alguma pessoa da sua confiança para te enganar. Nesse caso, a vítima recebe um e-mail aparentemente normal, muito bem escrito, e esse e-mail...
ele geralmente finge ser de um serviço legítimo. Por exemplo, ele te alerta do compartilhamento de um documento importante, ele diz que você recebeu uma mensagem urgente no Microsoft Teams e por aí vai. E aí, no e-mail, eles te dão um código e te dizem o seguinte, olha, para você acessar esse arquivo, para você ler essa mensagem, você precisa entrar na página oficial da Microsoft e digitar esse código aqui.
E é nesse ponto que mora a armadilha, porque a vítima clica, entra no site verdadeiro da Microsoft, vê o cadeado lá na barra de endereço e digita o código. Na cabeça da vítima, ela está segura porque o site é real, mas na verdade, quando ela faz isso, quando ela digita esse código, ela autoriza o computador do criminoso a entrar na conta dela.
Tecnicamente falando, o que os golpistas roubam é o token de acesso. Sabe quando você vai num show, num festival, e aí na bilheteria, na entrada, você mostra o ingresso e recebe uma pulseira? Depois, quando você está lá dentro do estádio, do espaço, do show, do festival...
Os seguranças, eles não te pedem o ingresso de novo toda vez que você vai, por exemplo, ao banheiro ou vai ao bar. Eles te pedem a pulseira, você mostra a pulseira. Nesse golpe, nessa analogia, o que o criminoso rouba é justamente a sua pulseira. E aí, com isso, ele pula a etapa de inserção de senha, ele pula a autenticação de dois fatores, que é aquele mecanismo de segurança para reforçar a proteção à conta.
E com isso tudo ele tem acesso livre ao e-mail do Outlook, às mensagens, a vários arquivos confidenciais que são trocados nessas comunicações corporativas. E o que torna o cenário desse golpe mais complexo é que essa plataforma, a Kali 365, ela não é um ataque isolado de um hacker ou de um grupo de hackers.
Essa plataforma é vendida no Telegram, o aplicativo de mensagens, como um serviço por assinatura. Então, qualquer golpista, mesmo que ele seja iniciante, não tenha muito conhecimento técnico, ele consegue pagar uma mensalidade, ganhar um painel de controle e começar a disparar esses ataques, esses envios de phishing em massa. Então, se você tem uma conta corporativa da Microsoft, a orientação do FBI...
é nunca inserir esse tipo de código numa página se você não iniciou esse processo por conta própria minutos ou segundos antes. Se você receber um e-mail aí que chegou do nada, deleta esse e-mail e na dúvida também, encerra as sessões ativas lá nas configurações da sua conta.
E fico alerta também para os gestores de TI para buscar formas de restringir o fluxo de autenticação por código e tentar diminuir tentativas de golpes como essa. Até a próxima! Em um mundo cheio de respostas, nós escolhemos fazer as perguntas certas. Somos a Trilha, especialistas em perguntas que movem empresas.
Um time de cientistas com visão empreendedora e conhecimento em negócios, trilhando soluções estratégicas com dados e inteligência aplicada. Um negócio com selos de confiança e inovação da B3. Conheça a trilha. Pensar fora da curva é o melhor caminho.
Dili Brasil
Dili EX5 EMITrilha