Phishing via Microsoft Entra: convites de tenant usados para TOAD (telefone) | Riscos e Ameaças

Campanhas de phishing têm explorado os convites de guest users do Microsoft Entra (enviados de invites@microsoft[.]com) para induzir vítimas a ligar para números controlados por criminosos — técnica TOAD. Atacantes criam tenants falsos e usam o campo Message para inserir conteúdo extenso de phishing que contorna filtros de e‑mail. As fontes não informam contagens de vítimas.

Pesquisador Michael Taggart identificou campanhas de phishing que abusam do mecanismo de convites de guest users do Microsoft Entra para induzir alvos a ligar para números controlados por atacantes, prática conhecida como TOAD (Telephone Oriented Attack Delivery).

O que mudou agora

Os ataques empregam convites legítimos enviados de invites@microsoft[.]com para contornar filtros de e-mail e criar confiança. Os invasores criam tenants falsos com nomes como “Unified Workspace Team”, “CloudSync” e “Advanced Suite Services” para simular comunicações oficiais. Nas mensagens, os atacantes inserem texto convincente (incluindo referências de transações e IDs de cliente) e instruem o destinatário a contatar um número apresentado como “Microsoft Billing Support”.

Vetor e técnica

Segundo as fontes, o vetor explora uma característica do Entra: o campo Message nos convites de guest users aceita textos arbitrariamente longos. Isso permite que atacantes incorporem conteúdo de phishing extenso dentro do próprio convite, reduzindo a probabilidade de detecção por controles tradicionais de segurança de e-mail, visto que o remetente aparenta ser a infraestrutura legítima da Microsoft.

Fluxo observado e iscas

Em uma variante reportada, o e-mail afirma que a assinatura Microsoft 365 do destinatário exige “renovação” e inclui detalhes fabricados — números de referência, IDs de cliente e um valor aproximado de US$446.46 — como justificativa para que a vítima faça a ligação para o número fornecido. A ligação conecta o usuário a operadores que tentam colher credenciais e realizar takeover de contas.

Detecção e mitigações imediatas

As recomendações práticas presentes nas fontes incluem busca nos logs de e-mail por indicadores como o remetente invites@microsoft[.]com, linhas de assunto que contenham expressões como “invited you to access applications within their organization” e nomes de tenants já associados à campanha (ex.: x44xfqf.onmicrosoft[.]com, woodedlif.onmicrosoft[.]com, xeyi1ba.onmicrosoft[.]com). Administradores podem também bloquear os números telefônicos ligados às operações e reforçar a orientação aos usuários para que verifiquem comunicações com os canais oficiais de suporte da Microsoft antes de ligar ou fornecer credenciais.

Impacto e limitações das informações

As fontes descrevem a técnica e exemplos de tenants usados, mas não apresentam métricas de abrangência (número de vítimas) nem inteligências de atribuição além da descoberta feita por Michael Taggart. As publicações não detalham indicadores técnicos adicionais de exploração além dos nomes de tenants e do padrão de abuso do campo Message.

Recomendações operacionais

Buscar ativamente nos logs por invites@microsoft[.]com e nomes de tenant listados;
Bloquear/monitorar números telefônicos identificados na campanha;
Treinar usuários para confirmar solicitações de suporte via canais oficiais e não seguir instruções de contato telefônico presentes em convites inesperados;
Implementar processos para validação de convites externos e revisão de tenants externos que solicitem acessos a aplicações corporativas.