Iniciativa CpC: Cidadãos pela Cibersegurança

Está a receber códigos Microsoft Authenticator ou SMS de autenticação sem os pedir?

Published by

Rui Martins

on

Nas últimas semanas, milhares de utilizadores em vários países, incluindo Portugal, têm relatado a receção de códigos de autenticação da Microsoft por SMS, email ou através da aplicação Microsoft Authenticator sem terem iniciado qualquer tentativa de acesso às suas contas.

Os relatos surgem em fóruns técnicos, comunidades de administradores Microsoft 365, Reddit, Microsoft Learn, redes sociais e empresas que verificaram um aumento anormal destes eventos.

Embora alguns casos possam resultar de erros legítimos de introdução de números de telefone ou endereços de email, existem atualmente vários cenários de segurança que explicam este fenómeno e que justificam atenção imediata.

Sinal de alerta ou simples incómodo?

A resposta depende do contexto.

Receber um único código isolado pode não significar grande coisa.

Receber vários códigos ao longo de dias ou semanas, especialmente repetidos ou provenientes de diferentes canais (SMS, email e Microsoft Authenticator), é um sinal de que alguém está a interagir com os sistemas de autenticação associados à sua identidade digital.

Em muitos casos não significa que a conta tenha sido comprometida.

Mas significa quase sempre que alguém conhece pelo menos um dos seguintes elementos:

  • O seu endereço de email
  • O seu número de telefone
  • A existência da sua conta Microsoft
  • Possivelmente uma palavra-passe antiga associada à conta

Cenário 1: Credential Stuffing

Esta é atualmente a explicação mais provável.

Milhões de credenciais roubadas em fugas de dados anteriores circulam livremente na Internet e em fóruns criminosos.

Os atacantes utilizam ferramentas automáticas que testam essas combinações de email e palavra-passe contra serviços Microsoft.

Quando a palavra-passe continua válida, ou quando a conta possui métodos alternativos de autenticação, a Microsoft desencadeia um pedido de autenticação multifator.

É então que o utilizador recebe um SMS ou uma notificação inesperada.

Paradoxalmente, isto significa que a autenticação multifator está a funcionar.

O atacante conseguiu ultrapassar a primeira barreira mas não a segunda.

Cenário 2: Enumeração de contas Microsoft

Outra possibilidade é uma campanha destinada apenas a descobrir quais os emails e números de telefone associados a contas Microsoft válidas.

Neste caso, o objetivo não é necessariamente entrar na conta.

O objetivo é construir bases de dados de alvos.

Os atacantes testam milhões de números e emails.

Se um código for enviado, ficam a saber que aquela conta existe.

Mais tarde essa informação pode ser utilizada para phishing, engenharia social ou ataques direcionados.

Cenário 3: Login por SMS sem palavra-passe

Muitos administradores Microsoft descobriram recentemente que os seus utilizadores recebiam códigos OTP sem existir qualquer tentativa de login registada.

A explicação está relacionada com uma funcionalidade do Microsoft Entra ID chamada “SMS Sign-In”.

Quando esta funcionalidade está ativa, é possível iniciar o processo de autenticação utilizando apenas o número de telefone.

Nesta fase ainda não existe autenticação completa nem um registo tradicional de login.

Por isso o utilizador recebe o código mas os administradores não encontram qualquer evento suspeito nos relatórios.

Vários especialistas acreditam que grupos criminosos estão atualmente a explorar esta funcionalidade para identificar números válidos associados a contas empresariais.

Cenário 4: MFA Fatigue ou MFA Bombing

Trata-se de uma técnica cada vez mais popular.

Os atacantes obtêm credenciais válidas.

Em vez de tentarem quebrar a MFA, enviam dezenas ou centenas de pedidos de autenticação.

O objetivo é simples.

Esperam que a vítima:

  • Aprove um pedido por engano.
  • Clique no botão errado.
  • Fique convencida de que existe um problema técnico.
  • Aceite um pedido apenas para fazer parar as notificações.

Em ambientes empresariais esta técnica já foi utilizada com sucesso por grupos criminosos responsáveis por intrusões em grandes organizações.

Cenário 5: Ataques OAuth Device Code

Esta ameaça merece especial atenção.

O ataque utiliza uma funcionalidade legítima da Microsoft criada para Smart TVs, impressoras, consolas de jogos e outros dispositivos sem teclado.

A vítima recebe um código.

Posteriormente recebe um email ou uma mensagem que aparenta ser legítima.

É convidada a visitar:

microsoft.com/devicelogin

O endereço é verdadeiro.

A página é verdadeira.

A autenticação é verdadeira.

O problema é que o código pertence ao atacante.

Quando a vítima conclui o processo, a Microsoft entrega os tokens de acesso ao criminoso.

Neste cenário a MFA não é contornada.

É a própria vítima que a executa para o atacante.

Cenário 6: Tentativas de recuperação de conta

Muitos criminosos utilizam a funcionalidade de recuperação de conta da Microsoft.

Ao introduzirem um endereço de email conhecido podem provocar o envio de códigos legítimos.

Posteriormente enviam mensagens falsas afirmando:

“Recebemos um pedido de recuperação da sua conta.”

“Introduza o código para cancelar a alteração.”

“Confirme a sua identidade.”

O objetivo é convencer a vítima a entregar o código recebido.

Porque é que algumas pessoas recebem sempre o mesmo código?

Vários utilizadores reportaram receber repetidamente o mesmo código por SMS.

Embora a Microsoft não tenha divulgado explicações detalhadas para todos os casos, especialistas suspeitam que alguns sistemas de autenticação e recuperação mantêm temporariamente o mesmo OTP válido durante um determinado período.

Isto pode explicar situações em que o mesmo código é reenviado várias vezes num curto intervalo de tempo.

O que fazer imediatamente?

Se recebeu códigos não solicitados:

Não utilize os códigos.

Não responda aos SMS.

Não clique em links.

Não telefone para números indicados nas mensagens.

Aceda diretamente ao portal oficial da Microsoft.

Verifique a atividade recente em:

https://account.microsoft.com/security

Analise:

  • Dispositivos registados
  • Sessões ativas
  • Métodos de autenticação
  • Tentativas de acesso
  • Aplicações autorizadas

Verifique se foi vítima de uma fuga de dados

Introduza o seu endereço de email em:

https://haveibeenpwned.com

Se encontrar registos de exposição:

  • Altere imediatamente a palavra-passe.
  • Não reutilize palavras-passe.
  • Substitua palavras-passe repetidas noutros serviços.

Como desligar códigos SMS e OTP sempre que possível

A Microsoft está gradualmente a abandonar os SMS devido aos riscos de segurança associados.

Para reduzir a exposição:

  1. Aceda a account.microsoft.com.
  2. Entre em Segurança.
  3. Selecione Opções de Segurança Avançadas.
  4. Remova o número de telefone como método principal de autenticação.
  5. Configure Microsoft Authenticator.
  6. Configure Passkeys.
  7. Configure uma chave física FIDO2 se possível.

Como impedir login através do número de telefone

Muitas contas Microsoft continuam a permitir autenticação através do número de telefone associado.

Para reduzir este risco:

  1. Adicione um endereço Outlook à conta Microsoft.
  2. Defina esse endereço como alias principal.
  3. Desative o login através dos aliases secundários.
  4. Remova o número de telefone como opção de autenticação quando possível.

Isto dificulta significativamente ataques de enumeração.

Utilizadores empresariais Microsoft 365

Os administradores devem verificar:

Microsoft Entra Admin Center

Security → Authentication Methods → Policies → SMS

Confirmar se:

“Use for Sign-In”

está desativado para utilizadores que não necessitem desta funcionalidade.

Diversas organizações descobriram que os OTP inesperados estavam relacionados com esta configuração.

Considere abandonar o SMS

O SMS continua a ser melhor do que não ter MFA.

Mas atualmente já não é considerado um método forte.

Está exposto a:

  • SIM Swap
  • Interceção de mensagens
  • Engenharia social
  • Ataques de phishing
  • Ataques MFA Fatigue

As alternativas recomendadas são:

  • Microsoft Authenticator
  • Passkeys
  • Windows Hello
  • Chaves FIDO2
  • Autenticação biométrica

Conclusão

Receber códigos Microsoft que não solicitou não significa automaticamente que foi comprometido.

Mas significa que alguém está a testar, explorar ou interagir com os mecanismos de autenticação associados à sua conta.

Na maioria dos casos trata-se de credential stuffing baseado em fugas de dados antigas.

Noutros casos pode tratar-se de campanhas de enumeração de contas, MFA Fatigue, ataques OAuth Device Code ou tentativas de recuperação fraudulenta de contas.

O erro mais perigoso é ignorar estes sinais.

O comportamento correto é tratar cada código inesperado como um alerta de segurança, verificar imediatamente a conta, alterar credenciais quando necessário e migrar para métodos de autenticação mais resistentes a phishing e fraude.

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.