Ataque de phishing no Linkedin engana com login da Microsoft

Nos últimos dias, foi detectada uma nova campanha de phishing no LinkedIn que visa executivos — principalmente do setor financeiro — com convites falsos para cargos de diretoria ou participação em fundos de investimento. O objetivo final: roubar credenciais da Microsoft (inclusive cookies de sessão) através de uma cadeia de redirecionamentos e páginas que imitam autenticação legítima. Somos uma empresa especializada em Tecnologia da Informação. Atendemos presencialmente as cidades de Belo Horizonte e região metropolitana, e oferecemos atendimento remoto para Rio de Janeiro, São Paulo, Salvador, Brasília, Vitória, Goiânia e Porto Alegre. Atuamos com soluções e serviços de TI personalizados (outsourcing) e disponibilizamos profissionais capacitados para atuar in loco. Para demais localidades, consulte a viabilidade através do e-mail [email protected]. Fale com um consultor

O que é phishing e por que o LinkedIn virou vetor de ataque

“Phishing” é uma técnica de engenharia social em que o atacante finge ser uma entidade de confiança para enganar o usuário e obter dados sensíveis, como senhas, números de cartão, ou cookies de sessão.
Até agora, muitos desses ataques ainda eram feitos por e­mail, mas eles estão migrando para outras plataformas — e o LinkedIn é uma delas.

Por que o LinkedIn é atrativo:

  • É uma rede social profissional onde contatos e convites inesperados muitas vezes parecem plausíveis.

  • Mensagens diretas (DMs) ou convites para “oportunidades de negócio” podem baixar a guarda dos usuários.

  • A proteção de antiphishing tradicional foca muito em e-mail; plataformas como o LinkedIn têm menos visibilidade em muitos controles corporativos.

  • Executivos ou perfis com alta exposição são vistos como “alvos de alto valor” — um único acesso bem-sucedido pode gerar acesso aos recursos corporativos, dados sensíveis ou contas privilegiadas.

Portanto, o que vemos é uma mudança de paradigma: o canal do ataque (LinkedIn) + técnicas sofisticadas de imitação + foco em credenciais de Microsoft fazem dessa campanha algo particularmente perigoso.

As plataformas corporativas deixaram de ser apenas redes profissionais; hoje são vetores críticos de engenharia social”
“O LinkedIn é especialmente sensível porque mistura confiança com oportunidades de carreira, o que o torna um ambiente fértil para o phishing direcionado.”

Como funciona exatamente essa campanha de phishing no LinkedIn

A seguir, veremos o fluxo típico desse golpe — entender isso ajuda muito a reconhecê-lo e bloqueá-lo.

  1. Contato inicial via LinkedIn
    O usuário recebe uma mensagem direta ou convite no LinkedIn, geralmente de uma pessoa ou empresa aparentemente legítima, oferecendo algo atraente: “convite para integrar o conselho executivo”, “oportunidade de fundo de investimento”, etc.
    A mensagem usa linguagem que corresponde ao perfil do alvo (executivo financeiro, mercado de capitais, board membership) — criada para gerar credibilidade.

  2. Clique no link
    A mensagem contém um link que leva o usuário a um site. Mas não diretamente — há uma cadeia de redirecionamentos que dificulta a detecção automática.
    Por exemplo, o link pode passar por um “open redirect” do Google ou serviços confiáveis, antes de chegar ao site atacante.

  3. Página falsa de compartilhamento “profissional”
    O site alvo tenta imitar um portal de compartilhamento de documentos, por exemplo “LinkedIn Cloud Share” ou documento de board membership. Dentro há “docs” que supostamente você precisa visualizar.
    Ao clicar no documento, é requisitado que você “View with Microsoft” ou “Visualizar com Microsoft”.

  4. CAPTCHA ou proteção contra bots
    Antes de exibir o login, o usuário passa por um desafio tipo CAPTCHA ou a tecnologia Cloudflare Turnstile — isso evita que scanners automáticos detectem a página como maliciosa.

  5. Página de login Microsoft falsa — AITM (Adversary-in-the-Middle)
    Finalmente, o usuário vê uma página de login que imita a autenticação da Microsoft. Ao inserir usuário e senha, o atacante captura não só as credenciais, mas também os cookies de sessão, o que permite manter acesso mesmo se a senha for alterada.
    Esse tipo de técnica torna inútil somente focar em “senha forte” ou “MFA” — pois o cookie de sessão já dá o passe.

  6. Consequências
    O atacante pode acessar contas Microsoft 365, Azure AD, e-mail corporativo, OneDrive, Teams etc. Em ambientes corporativos tal acesso pode levar a movimentações laterais, acesso a dados sensíveis, fraude financeira etc.

Por que esse ataque merece atenção especial

Essa campanha tem vários fatores que a tornam mais perigosa do que um phishing “comum”.

  • Alvo de alto valor: executivos financeiros, board members — acesso elevado.

  • Canal diferente: Não apenas e-mail, mas LinkedIn, o que contorna muitos filtros tradicionais.

  • Técnica AITM: roubo de cookies + bypass de MFA — eleva o risco.

  • Uso de domínios confiáveis e cadeias de redirecionamento: Hospedagem em plataformas legítimas (ex: Firebase) ajuda a evitar bloqueios.

  • Vulnerabilidade humana e social: A proposta parece legítima (“entre para o board”, “fundo de investimento”), reduzindo a suspeita.

  • Mudança no padrão de ataque: A segurança corporativa foca muito em e-mail; quando os atacantes mudam para redes sociais, pode ter menos visibilidade.

Em suma: o usuário, a empresa, a plataforma (LinkedIn) e a ferramenta (Microsoft 365) estão sendo explorados em conjunto. É um ataque moderno, adaptado às defesas atuais.

Sempre que receber um link dentro do LinkedIn, passe o cursor sobre o link antes de clicar e observe se o domínio começa realmente com linkedin.com.
Se contiver redirecionamentos longos, encurtadores (como bit.ly, tinyurl) ou domínios desconhecidos, evite o clique.

Exemplos reais / domínios usados

  • A campanha identificada pela Push Security utilizou domínios como payrails-canaccord[.]icu, boardproposalmeet[.]com, sqexclusiveboarddirect[.]icu.

  • Hospedagem em firebasestorage.googleapis[.]com/(redacted) para o portal “LinkedIn Cloud Share”.

  • Página falsa de login em login.kggpho[.]icu com proteção Cloudflare Turnstile.

  • Mensagem típica enviada no LinkedIn:

    “I’m excited to extend an exclusive invitation for you to join the Executive Board of Common Wealth investment fund…”

Esses exemplos ajudam a entender o modus operandi e podem servir como indicadores para triagem ou bloqueio.

Como se proteger — Checklist para indivíduos e empresas

Para usuários individuais:

  • Utilize sempre autenticação multifator (MFA) para suas contas, especialmente corporativas Microsoft.

  • Desconfie de convites inesperados no LinkedIn — principalmente de perfis desconhecidos ou mensagens que prometem oportunidades “exclusivas”.

  • Antes de clicar em links de mensagens no LinkedIn, verifique:

    • O perfil que enviou realmente existe e tem histórico.

    • A URL parece estranha ou fora do escopo da plataforma que supostamente está sendo usada (ex: “view with Microsoft” pode levar a domínio estranho).

    • Ao digitar credenciais, verifique se o domínio do site corresponde ao legítimo (por exemplo, login.microsoftonline.com) e se há certificado SSL válido.

    • Em caso de dúvida, entre em contato pela própria plataforma ou por outra forma de verificação com a pessoa/empresa que enviou a mensagem.

  • Em situações corporativas, evite usar credenciais de trabalho em redes públicas ou dispositivos não confiáveis.

  • Mantenha sistemas (navegador, OS, plugins) atualizados e utilize uma solução de segurança/malware webcam.

  • Treine sua própria vigilância: veja se a solicitação faz sentido, se é de fato esperada ou se há pressão para clicar rapidamente.

Para empresas / TI / segurança corporativa:

  • Realize campanhas de conscientização de colaboradores sobre phishing via redes sociais e fora do e-mail.

  • Monitore logs de autenticação Microsoft 365/Azure AD: veja tentativas de login de dispositivos ou locais atípicos após interações no LinkedIn ou redes sociais.

  • Aplique bloqueio de domínios suspeitos (ex: os mencionados acima) no perímetro de rede/securitização de navegação.

  • Ative funcionalidades de proteção de sessão e revisão de token/cookie no ambiente Microsoft — limitar persistência de sessões, revogar tokens se houver suspeita de comprometimento.

  • Implemente soluções de DLP (Data Loss Prevention), detecção de anomalias e monitoramento de endpoint para atividade suspeita pós-acesso.

  • Pergunte: esse tipo de convite/executive board faz sentido para este perfil? Existe verificação de antecedente? Criar camada de“sanity check” para convites fora do padrão.

  • Use listas de bloqueio e análise de URL/redirecionamento de links recebidos via redes sociais corporativas.

  • Prepare plano de resposta para possível comprometimento: fechar sessão, forçar redefinição de credenciais, revisar acesso, investigar logs.

Phishing não é apenas um problema técnico, é uma questão de comportamento digital.
Quanto mais você entender o padrão dos ataques, menos chances tem de cair neles.
Invista tempo em higiene digital: revisar acessos, questionar convites e adotar MFA em todas as plataformas.

Impactos possíveis de um comprometimento bem-sucedido

  • Acesso a contas de e-mail corporativas: leitura, envio de e-mail sob identidade, movimentação lateral.

  • Acesso a documentos sensíveis em OneDrive/SharePoint, acesso a Teams, chats, histórico.

  • Uso de logins para fraude financeira (ex: uso de privilégios para solicitar transferências, desvio de recursos).

  • Persistência no ambiente: aproveitando cookies de sessão para ficar mesmo depois de mudança de senha.

  • Reputação: perfis de executivos comprometidos podem ser usados para ataques posteriores ou engenharia social.

  • Exposição de dados pessoais / corporativos: vazamento, extorsão, uso para phishing futuro.

  • Em empresas reguladas, pode haver impacto legal, compliance, multas, requisitos de reporte

Conclusão

A campanha de phishing no LinkedIn que engana com login da Microsoft representa o tipo de ameaça que evolui conforme os controles de segurança avançam: o canal muda, as técnicas mudam, e os atacantes se adaptam.
Para proteger-se — seja individualmente ou como empresa — é preciso manter atenção constante, reforçar controles de identidade e sessão, treinar usuários para suspeitar de convites inesperados, e tratar redes sociais profissionais como vetor válido de risco, não apenas o e-mail.

Contato e Informações

Conheça a 4Infra! A 4infra atua com soluções e serviços para melhorar a produtividade e segurança da informação do seu negócio. Saiba mais sobre como podemos auxiliá-lo no suporte à sua infraestrutura de TI. (31) 3195-0580 Acesse nosso site https://4infra.atomti.com.br para saber mais sobre nossos serviços. Estamos localizados em Belo Horizonte/MG na Rua Marechal Foch, 41, Pilotis no Bairro Grajaú. ⏰ Nosso horário de funcionamento é de segunda a sexta de 08:00hs às 18:00hs. 4infra Consultoria em TI

(FAQ) – Ataque de phishing no Linkedin engana com login da Microsoft
  • Recebi uma mensagem no LinkedIn oferecendo vaga de conselho ou participação em fundo — devo clicar no link?
    Só clique se você confirmar que o remetente é legítimo, que a oportunidade foi verificada e que o link leva a um domínio confiável. Em caso de dúvida, acesse diretamente via site da empresa (não clicando no link da mensagem) ou entre em contato por outro canal.
  • Mesmo que eu use autenticação multifator (MFA), estou seguro?
    Não totalmente. Essa campanha utiliza AITM para capturar cookies de sessão, o que pode permitir que o atacante se mantenha logado mesmo após a senha mudar. Portanto, MFA ajuda — mas não elimina o risco. Também é preciso monitorar sessões, uso de token e comportamento de login. Rescana
  • Como posso saber se um link ou domínio é malicioso?

    • Verifique o domínio: se for estranho ou não corresponder ao serviço real (Ex: login.microsoft-secure.com vs login.kggpho[.]icu).

    • Veja se a URL contém muitos redirecionamentos ou parâmetros incomuns.

    • Use uma sandbox/link-scanner antes de clicar, se possível.

    • Em ambiente corporativo, bloqueie domínios suspeitos ou fora da política.

    • Avalie o contexto: se você não esperava esse convite ou se parece “bom demais para ser verdade”, desconfie.

  • Se eu clicar no link, inseri minhas credenciais e depois mudei a senha — ainda estou seguro?
    Não necessariamente. Porque se os cookies de sessão foram capturados, o atacante pode manter acesso. Então, além de mudar a senha, você deve:

    • Encerrar sessões ativas (logout de todos os dispositivos)

    • Revogar tokens/persistência

    • Verificar logs de login e autenticação suspeita

    • Possivelmente forçar MFA de novo ou revalidação de dispositivos.

  • Minha empresa usa proteção de e-mail e antivírus — isso me salva?
    Esses controles ajudam, mas não bastam. Porque o canal de ataque aqui não é e-mail; é o LinkedIn. E a página final parece legítima, hospedada em serviços confiáveis, com CAPTCHAs e redirecionamentos. Portanto, é preciso um plano de defesa em profundidade: conscientização, monitoramento, controle de identidade, análise de sessão, políticas de uso de redes sociais corporativas.

Contato e Informações

Conheça a 4Infra!

A 4infra atua com soluções e serviços para melhorar a produtividade e segurança da informação do seu negócio.

Saiba mais sobre como podemos auxiliá-lo no suporte à sua infraestrutura de TI.

🌍Acesse nosso site https://4infra.atomti.com.br para saber mais sobre nossos serviços.

📍 Estamos localizados em Belo Horizonte/MG na Rua Marechal Foch, 41, Pilotis no Bairro Grajaú.

⏰ Nosso horário de funcionamento é de segunda a sexta de 08:00hs às 18:00hs.

FALE CONOSCO

Leandro Keppel

Leandro está no mercado de TI desde 1997, onde já atuou em grandes empresas em Belo Horizonte, São Paulo, Brasília. Conhece do inicio ao fim tudo que envolve infraestrutura de TI, especialista em soluções Microsoft 365, Fortinet, Acronis e Redes Wireless, mas ao longo do tempo foi se aperfeiçoando e passou a cuidar da parte Administrativa, Marketing e Financeira na 4infra e como um bom Atleticano sempre está presente nos jogos do GALO.

novembro 3, 2025

Deixe o primeiro comentário