O invasor que atingiu o maior número de organizações de serviços financeiros nos últimos 12 meses nunca phishing uma senha. Eles ligaram para uma linha de suporte de TI, convenceram um funcionário a redefinir seu MFA e registraram seu próprio dispositivo na rede.
CrowdStrike Relatório sobre o cenário de ameaças aos serviços financeiros de 2026lançado este mês e cobrindo atividades de abril de 2025 a março de 2026, identificou o Mutant Spider como a ameaça mais ativa ao setor de serviços financeiros. A principal técnica do grupo period o phishing de voz no Microsoft Groups. As operadoras personificaram o suporte interno de TI, convenceram os funcionários a redefinir suas credenciais e autenticação multifatorial e, em seguida, registraram seus próprios dispositivos nas redes corporativas. O controle de segurança funcionou exatamente como planejado — e esse period o problema.
Em poucos dias, o FBI publicou um anúncio de serviço público alertando sobre Kali365, uma plataforma de phishing como serviço vendida no Telegram por apenas US$ 250 por mês. Kali365 captura tokens OAuth do Microsoft 365 por meio do fluxo de autenticação de código de dispositivo legítimo. O MFA é acionado no dispositivo da vítima, não no do invasor. O token concede acesso persistente ao Outlook, Groups e OneDrive sem acionar outro immediate de MFA.
O Relatório de investigações de violação de dados da Verizon 2026também divulgado em maio, confirmou que o roubo de credenciais caiu para 13% dos vetores de acesso inicial de violação. A exploração de vulnerabilidades assumiu a primeira posição com 31%, substituindo o que a Verizon chamou de categoria líder de acesso inicial. São três fontes independentes, a mesma descoberta estrutural. A MFA protege a autenticação baseada em senhas, mas os ataques que dominam os serviços financeiros contornam cada vez mais o roubo de senhas por meio de redefinições, concessões de tokens e exploração. A grade de auditoria de exposição do MFA Bypass no closing deste artigo mapeia todas as cinco superfícies de ataque confirmadas dos relatórios CrowdStrike, FBI e Verizon, o que o MFA perde em cada uma delas e a correção específica para a manhã de segunda-feira.
Os números da CrowdStrike pintam um setor sob pressão sustentada
Os serviços financeiros foram classificados como o quarto setor mais visado no primeiro trimestre de 2026, representando 12% de todas as atividades adversárias observadas, de acordo com o relatório CrowdStrike. Globalmente, as instituições financeiras enfrentaram 43% mais intrusões manuais no teclado em 2025, em comparação com dois anos antes. Na América do Norte, esse número foi de 48%.
O lado do problema do crime eletrônico cresceu mais rápido do que a maioria dos defensores esperava. Os operadores de caça grossa nomearam 423 entidades de serviços financeiros em websites de vazamentos dedicados durante o período do relatório. Isso representa um aumento de 27% em relação às 334 entidades nomeadas nos 12 meses anteriores. REVENANT SPIDER, que opera o programa de ransomware como serviço Qilin, postou o maior número de vítimas de serviços financeiros de qualquer adversário de crime eletrônico em seu web site de vazamento dedicado. A contagem de vítimas de serviços financeiros do grupo saltou de 14 para 97 durante o período do relatório.
“Quem precisa de um dia zero se tudo o que você precisa fazer é ligar para o suporte técnico e dizer: ‘Esqueci minha senha’?” Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, disse ao VentureBeat. Esta frase capta a mudança estrutural que a sua equipa documentou ao longo de doze meses de intrusões nos serviços financeiros.
O detalhamento da intrusão interativa conta a história de quem está realmente entrando nessas redes. Os atores do crime eletrônico geraram 75% das invasões manuais contra serviços financeiros. Os adversários patrocinados pelo Estado representaram os 25% restantes. Essa proporção não mudou desde 2023. O que mudou foi o quantity complete e a sofisticação das técnicas de acesso.
As campanhas de vishing do Mutant Spider no Microsoft Groups representam uma mudança estrutural no acesso inicial. O grupo se faz passar pelo suporte de TI, manipula os funcionários para redefinir o MFA e, em seguida, implanta ferramentas personalizadas de pós-acesso, incluindo PrionFlaire, SocksLoader e SleepyMutagen. CrowdStrike acredita que o grupo vende esse acesso a operadores de ransomware. A chamada do Groups é o primeiro passo. A nota de resgate é o passo cinco.
“Quem precisa de um dia zero se tudo o que você precisa fazer é ligar para o suporte técnico e dizer: ‘Esqueci minha senha’?”
O Scattered Spider voltou a realizar operações agressivas de ransomware contra seguradoras de abril a julho de 2025, após uma pausa operacional significativa que começou em dezembro de 2024. O grupo executou o mesmo guide que usa desde 2022: engenharia social de assist desk; solicitações de redefinição de credenciais e MFA; em seguida, movimento lateral por meio de aplicativos SaaS integrados para localizar dados para extorsão. Em setembro de 2025, a Agência Nacional do Crime do Reino Unido prendeu e acusou dois membros por supostamente atacarem o Transport for London. O Departamento de Justiça dos EUA separadamente acusou um deles em conexão com vários ataques cibernéticos contra a infra-estrutura crítica dos EUA.
Grupos patrocinados pelo Estado adicionaram escala e velocidade
As conclusões do relatório, patrocinadas pelo Estado, reforçam o problema da identidade numa direcção diferente. Adversários do nexo da RPDC roubaram US$ 2,02 bilhões em ativos digitais em 2025, um aumento de 51% em relação ao ano anterior. Em fevereiro de 2025, Strain Chollima executou o maior roubo já relatado, roubando US$ 1,46 bilhão em criptomoedas ao comprometer a Protected{Pockets}, uma plataforma de gerenciamento de ativos digitais que suporta a trade Bybit, depois que a máquina de um desenvolvedor foi infectada por meio de um projeto Python trojanizado. Os grupos do nexo com a China conduziram campanhas sustentadas contra instituições financeiras em vários continentes. Hole Panda explorou dispositivos VPN da Examine Level para atingir bancos nas Filipinas, Indonésia e Brasil. O Vault Panda obteve acesso inicial por meio de dispositivos VPN e firewall comprometidos em quatro continentes. Cada campanha patrocinada pelo estado documentada pela CrowdStrike compartilhava um fio condutor. O primeiro movimento do adversário teve como alvo uma identidade, uma credencial ou um caminho de acesso confiável.
Elia Zaitsev, CTO da CrowdStrike, disse à VentureBeat em abril que a velocidade dessas operações está ultrapassando os modelos de defesa tradicionais. “As abordagens tradicionais simplesmente não foram concebidas para este tipo de comportamento”, disse Zaitsev.
Kali365 transforma roubo de token em serviço de assinatura
O anúncio de serviço público do FBI em 21 de maio sobre o Kali365 confirmou a segunda rota de ataque que torna este um problema complexo. A plataforma explora o fluxo de concessão de autorização de dispositivos OAuth 2.0 da Microsoft, um mecanismo projetado para dispositivos como sensible TVs e sistemas de salas de conferência que não suportam login interativo. Kali365 envia e-mails de phishing representando serviços confiáveis como Adobe Acrobat Signal, DocuSign e SharePoint. O e-mail contém um código de dispositivo e instruções para visitar uma página legítima de verificação da Microsoft. A vítima autentica normalmente. MFA dispara. O token vai para o atacante.
VB Remodel · 14 a 15 de julho · Menlo Park · Segurança e identidade de agente
Seus agentes têm acesso a e-mail, cartão de crédito e acesso ao terminal. O que acontece quando eles estão comprometidos?
As sessões sobre segurança de agente abrangem injeção imediata, sandbox em ambientes regulamentados e os protocolos de agente confiável que a Visa está testando em sua própria infraestrutura crítica.
Veja a agenda completa →
Lobo Árticoque publicou um aprofundamento técnico no Kali365 em abril, documentou uma estrutura comercial de três níveis. Um nível de administração para os desenvolvedores, um nível de agente para revendedores e um nível de cliente para afiliados pagantes. O preço da assinatura varia de US$ 250 por 30 dias a US$ 2.000 por um ano. A plataforma oferece suporte a 14 idiomas e inclui iscas de phishing geradas por IA, modelos de campanha automatizados e um painel de rastreamento em tempo actual.
O fluxo de código do dispositivo não é uma vulnerabilidade. É um recurso. A Microsoft o projetou para dispositivos que não suportam login interativo. O problema é que as configurações padrão do Entra ID não restringem seu uso, e a maioria das organizações nunca auditou se algum fluxo de trabalho legítimo realmente exige isso. O Kali365 explora essa lacuna entre a intenção do design e a realidade da implantação.
O DBIR da Verizon reforçou essa avaliação de um ângulo diferente. A edição de 2026 analisou mais de 22 mil violações confirmadas em 145 países. A exploração de vulnerabilidades em 31% agora leva ao abuso de credenciais em 13%. O tempo médio para correção completa aumentou de 32 para 43 dias. As organizações corrigiram apenas 26% das falhas críticas no catálogo de vulnerabilidades exploradas conhecidas da CISA, abaixo dos 38% do ano anterior.
Esses dados criam uma imagem clara. A indústria passou duas décadas construindo defesas contra roubo de credenciais. Os ataques que realmente funcionam nos serviços financeiros removem a MFA através de engenharia social ou capturam tokens através de fluxos de autenticação legítimos, onde a MFA não protege a sessão do atacante.
Grade de auditoria de exposição de desvio de MFA
Os diretores de segurança precisam realizar esta auditoria em seu ambiente esta semana. Cada linha representa um caminho de ataque confirmado dos três relatórios acima.
|
Superfície de Ataque |
Evento confirmado |
O que falta ao MFA |
Ação |
|
Redefinição do MFA do Groups vishing/assist desk |
O invasor FS mais ativo ligou para funcionários do Groups, obteve redefinição de MFA e registrou seu próprio dispositivo (CrowdStrike) |
O suporte técnico verifica a identidade do chamador sem confirmação fora de banda. A engenharia social take away totalmente o MFA. |
Verificação fora de banda para todas as redefinições de MFA. Chaves de {hardware} FIDO2. Retorno de chamada em um canal separado. |
|
Fluxo de código do dispositivo OAuth |
Ferramenta de US$ 250/mês captura tokens M365 por meio da página de login do dispositivo. O MFA não dispara no dispositivo do invasor. (FBI) |
Não restrito nas configurações padrão do Entra ID. O canal de autenticação separa o desafio MFA do usuário da concessão de token do invasor. |
Restrinja o fluxo de código do dispositivo no acesso condicional do Entra ID. Bloqueie dispositivos não gerenciados. |
|
Persistência de token |
Ambos os caminhos terminam aqui. Os tokens válidos podem conceder semanas ou meses de acesso silencioso, dependendo da configuração do tempo de vida do token. (CrowdStrike + FBI) |
O monitoramento tradicional de roubo de credenciais não sinaliza o acesso baseado em token. Os tokens são artefatos portadores equivalentes a credenciais, mas a maioria das ferramentas de detecção não os classifica dessa forma. |
Monitore o uso do token de atualização do OAuth em dispositivos desconhecidos. Políticas de vida útil do token. |
|
Movimento SaaS pós-acesso |
Após a redefinição, os invasores recorreram a aplicativos SaaS em busca de credenciais e documentos. (CrowdStrike, setor de seguros) |
O DLP monitora downloads de arquivos, não atividades de sessão pós-redefinição ou chamadas de API baseadas em token de sessões autorizadas. |
Acesso à API Graph de auditoria. Sinalize operações em massa de sessões de redefinição ou de código de dispositivo. |
|
Desalinhamento orçamentário |
Roubo de credenciais em 13%. Exploração de vulnerabilidade em 31%. (Verizon DBIR) Engenharia reversa de patches em 72 horas. (Ivanti) |
O investimento MFA legado somente com login aborda a ameaça que acabou de cair para terceiro. A captura de tokens e a engenharia social ficam fora desse investimento. |
Reequilibre para monitoramento de token, validação de sessão, verificação de identidade para redefinições. |
Mike Riemer, vice-presidente sênior e CISO de campo da Ivanti, disse à VentureBeat em uma entrevista exclusiva que o problema da velocidade agrava o desalinhamento do orçamento. “Os atores das ameaças são patches de engenharia reversa, e a velocidade com que fazem isso foi bastante aprimorada pela IA”, disse Riemer. “Eles conseguem fazer engenharia reversa de um patch em até 72 horas. Se eu lançar um patch e um cliente não fizer o patch em até 72 horas após o lançamento, eles estarão abertos à exploração.”
O problema estrutural é claro
“As pessoas estão se esquecendo da segurança do tempo de execução”, disse Zaitsev. “Já fizemos isso antes, com endpoint, virtualização e nuvem. As pessoas realmente se concentraram em, ei, vamos corrigir todas as vulnerabilidades. Impossível. Vamos nos certificar de que vamos
Verifique todas as permissões. De alguma forma, sempre parece que sinto falta de alguma coisa.”
Os invasores que mais importam nos serviços financeiros no momento não estão roubando senhas. Eles estão ligando para os balcões de atendimento. Eles estão explorando fluxos de autenticação legítimos. Eles estão capturando tokens que persistem por meses. As defesas que consumiram a maior parte dos orçamentos de segurança na última década apontam para uma ameaça que acabou de cair para o terceiro lugar.
A solução não é adicionar outra camada de MFA – Zaitsev e Riemer disseram isso. É repensar o que a AMF realmente protege, o que não protege e para onde o orçamento deve ir a seguir.
