Depois de trabalhar em casa (trabalho remoto) tornou-se indispensável para muitos empresas, para o banco e instituições, a estratégia dos invasores de computador também mudou.
Microsoft alerta que cada vez mais têm aparecido aplicativos maliciosos sobre o que são as contas do Office 365 e o método de Segurança do token OAuth será cancelado se o usuário aceitar o acesso de tais aplicativos à conta do Office 365.
É um método de phishing “moda” neste período, o que se baseia descuido e ignorância dos usuários.
Uma mensagem é enviada por e-mail contém um link para um aplicativo “interessante”, o que à primeira vista não levanta suspeitas. Além disso, pode vir como recomendação de instalação da empresa ou banco onde o usuário trabalha.
Mas se o usuário cair na armadilha e conceder ao aplicativo acesso ao Microsoft Office 365, no futuro esse aplicativo não será mais bloqueado pelo OAuth. Eles podem se esconder atrás de aplicativos API através do qual inúmeras consultas podem ser feitas à conta do Office 365. Conta da qual os invasores podem obter informações confidenciais e extrair dados sensíveis com a ajuda do aplicativo, sem que o usuário perceba.

Tudo funciona no mesmo sistema que antigamente os aplicativos do Google Play para “lanterna” eles pediram acesso inclusive à lista de contatos. Depois que a permissão do usuário fosse recebida, o aplicativo poderia transportar dados confidenciais em segundo plano para terceiros mal-intencionados.
E os do Facebook já enfrentaram problemas semelhantes no passado, quando aplicações de terceiros tiveram acesso a mais dados do que precisavam, dados que acabaram por ser vendidos a diversas agências de comunicação.

No que diz respeito aos usuários do Microsoft Office 365 que hoje em dia trabalham em casa, é bom saber que qualquer e-mail recebido convidando a instalar um aplicativo para Office 364 deve ser verificado previamente por um departamento de TI. Somente após a aprovação deste departamento o aplicativo poderá ter acesso à sua conta do Office 365.

A melhor proteção contra phishing é sempre o cuidado do usuário. Links e aplicativos recebidos por e-mail e abertos ou instalados sem serem verificados, podem causar grandes perdas de dados e comprometer algumas carreiras.