A Okta emitiu um alerta sobre uma campanha ativa de vishing que combina chamadas telefônicas fraudulentas com páginas falsas de registro de passkey do Microsoft Entra ID, visando o roubo de credenciais e o sequestro definitivo de contas Microsoft 365. Rastreado como O-UNC-066, CL-CRI-1147 e “Pink”, o grupo opera desde abril e mira setores como automotivo, aviação, construção, alimentício, saúde e tecnologia, principalmente para extorsão de dados. O grande diferencial: os atacantes inscrevem seus próprios passkeys nas contas comprometidas, garantindo persistência mesmo após troca de senha.
Pesquisadores da Okta divulgaram uma análise técnica de uma campanha que vem operando há pelo menos três meses contra organizações em múltiplos setores. O modus operandi combina duas técnicas conhecidas — vishing (voice phishing) e phishing por página falsa — mas as adapta a um alvo relativamente novo: o processo de registro de passkey no Microsoft Entra ID, o sistema de identidade que substituiu o antigo Azure Active Directory.
O ataque começa por uma ligação telefônica em que o operador se passa por suporte técnico da Microsoft ou do departamento de TI da própria empresa. A vítima é informada de que precisa registrar um novo passkey por motivos de segurança e recebe um link para o que aparenta ser a página oficial da Microsoft. O domínio contém a palavra “passkey” e reproduz visualmente com fidelidade o fluxo real de enrollment.
Segundo a Okta, o grupo — apelidado internamente de “Pink” pela empresa e também rastreado como CL-CRI-1147 pela Palo Alto Networks — tem como objetivo principal extorsão de dados: comprometer a conta, extrair informação sensível de e-mails, OneDrive e SharePoint, e chantagear a organização com a publicação do conteúdo.
Tecnicamente, o kit de phishing utilizado explora a pouca familiaridade dos usuários com o fluxo real de registro de passkeys — um mecanismo baseado em FIDO2/WebAuthn que só passou a ser adotado em escala nos últimos dois anos. Enquanto o usuário acredita estar cadastrando sua própria chave, o atacante, do outro lado, inicia um enrollment legítimo com a Microsoft e associa ao token uma nomenclatura inocente (por exemplo, “iPhone 15 – trabalho”) para não levantar suspeita.
“O kit de phishing parece explorar a falta de familiaridade do usuário com autenticação por passkey. Em uma cerimônia real de registro, o usuário esperaria um diálogo do sistema para registrar um passkey em seu dispositivo. As páginas do kit imitam esse processo sem de fato registrar um passkey local.” — Okta
Um detalhe curioso: o kit também pede que a vítima escolha uma “frase de recuperação” a partir de uma lista de palavras BIP-39 — o mesmo padrão usado em carteiras de criptomoedas. Como o BIP-39 não tem aplicabilidade direta no Entra ID, a Okta avalia que essa etapa serve como distração enquanto o passkey do atacante é enrolado em background. É engenharia social usando pistas visuais de segurança para produzir a falsa sensação de que o processo é rigoroso.
O elemento mais preocupante desta campanha é a persistência. Diferente de phishing tradicional — em que a mitigação padrão é trocar senha e revogar sessões — um passkey adversarial fica registrado no diretório oficial da conta. Se a organização não auditar métodos de autenticação registrados, o atacante mantém acesso mesmo após o incidente ser “considerado resolvido”.
A campanha “Pink” é sintomática de uma tendência maior que vem se consolidando em 2026: atacantes já não tentam quebrar autenticação forte por força bruta ou interceptação de tokens. Eles miram diretamente o processo de enrollment, ou seja, o momento em que a organização confia no usuário para adicionar novos fatores. Se você consegue convencer a vítima a registrar seu passkey em nome dela, você não precisa mais roubar nada — você tem uma credencial legítima.
Isso ecoa técnicas já vistas em campanhas anteriores contra a Okta e o Cisco Duo, em que atacantes exploraram fluxos de auto-enrollment para adicionar dispositivos MFA controlados. A diferença é que o passkey, por ser considerado “resistente a phishing”, tende a receber menos atenção defensiva — administradores confiam no fator e monitoram pouco quem o cadastrou.
Para o Brasil, o cenário é particularmente relevante porque adoção de passkeys em ambientes corporativos ainda está no início. Empresas que estão saindo agora do modelo senha + SMS para passkey vão passar por uma janela de risco em que os usuários não sabem como o fluxo legítimo deveria se parecer — exatamente o vetor que o kit “Pink” explora. O programa de conscientização precisa ser atualizado antes, não depois, do rollout técnico.
Fonte: SecurityWeek
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…
Meta libera Muse Spark 1.1 com 1M de contexto, foco em agentes e API paga…