Logicalis: “Em 2025 ainda existem contas que não têm MFA” (com vídeo)

Na IT Security Conference 2025, a Logicalis mostrou como uma única conta sem MFA pode abrir caminho para que um atacante ganhe acesso a sistemas críticos. Edgar Coutinho, SOC Service Manager, e David Marques, Senior Red Team Auditor, ambos da empresa, explicaram o percurso do ataque e sublinharam porque é que a deteção proativa e a inteligência sobre domínios e credenciais são essenciais para impedir a escalada.

“Um dos principais problemas em termos de cibersegurança é o roubo de identidade. Esse roubo de identidade pode ser feito de várias maneiras, mas principalmente são, obviamente, credenciais”, começa por explicar David Marques. A sua equipa faz emulação de atacantes reais, e para isso recorre a portais de Telegram, Info Steelers e programas especializados em roubo de dados pessoais, cartões de crédito e logins corporativos.

O roteiro do intruso

A vítima era 'Maria', colaboradora da Logicalis, cuja conta, obtida em fóruns ilegais, serviu de base ao exercício que trouxeram. Com acesso às suas credenciais, o atacante testa todos os portais da empresa que estão expostos na internet. O mais comum, admite, é o Microsoft Teams, sendo que “há uma particularidade nestes portais, que é a falta de MFA. Ainda em 2025, existem contas que não têm MFA e alguns portais que ainda nem dão essa opção”.

O exemplo prático demonstra como, através de uma conta com pouco privilégios, o atacante cria um site falso que imita o portal da empresa, compra um domínio quase idêntico e monta um esquema de man-in-the-middle para capturar novas credenciais e tokens de MFA.

Começa uma encenação, ao abordar alguém que tenha muitos privilégios na rede, “normalmente, o diretor de IT”, a partir daí, é lhe pedido o favor de “aceder a um link que nós, por acaso, não conseguimos aceder e que é impactante para o nosso negócio”. Quando o diretor de IT insere as suas credenciais, o atacante não só captura os dados como também o token de autenticação.

O exercício comprovou que, em simulações de purple team, é possível atingir o nível máximo de intrusão e apagar evidências da mesma, de modo a explorar a rede sem ser detetado.

Defesa proativa

Ao inverter a perspetiva, Edgar Coutinho, SOC Service Manager, questiona que “estamos a partir do pressuposto que não há monitorização da rede, certo?”. E explica: “quando falamos em monitorização da rede, claro que nós sabemos que o SOC tradicional tem o pezinho na infraestrutura e quando o EDR começar a apitar alguém há de dizer alguma coisa”. No entanto, alerta, o incidente começa muito antes deste primeiro alarme.

Enquanto o atacante prepara a operação, ao comprar domínios, ao montar sites e a pesquisar as credenciais na dark web, a equipa de defesa pode estar a fazer o mesmo percurso, mas no sentido inverso. “Através de um serviço de CTI, conseguimos proativamente perceber se há credenciais delicadas”, aponta. Credenciais essas que podem ser testadas para verificar se o MFA está ativo e se o acesso é legítimo.

A lógica da Intelligence Security passa por cruzar sinais, desde detetar novos domínios semelhantes ao da empresa, analisar registos DNS, incluindo MX, que indiciem campanhas de phishing ou usurpação de identidade e acionar processos de takedown antes da primeira vítima clicar num link. “Enquanto o David estava aqui alegremente a fazer coisas na infraestrutura, o verdadeiro diretor de IT teria recebido um ticket logo no início, dando conta que tínhamos encontrado credenciais com o nome da Maria num site algures na dark web”, indica.

Para Edgar Coutinho, a prevenção não depende apenas de tecnologia, mas de visibilidade, velocidade e equipas proativas.