Microsoft revela nova onda de golpes digitais com code of conduct

A Microsoft detalhou, nesta semana, uma nova onda de golpes digitais que usou a expressão “code of conduct” como isca para enganar funcionários e capturar credenciais corporativas em vários países.

Segundo a empresa, os ataques miraram mais de 35 mil usuários em 26 países e mais de 13 mil organizações, em uma campanha de phishing em múltiplas etapas observada entre 14 e 16 de abril de 2026.

O objetivo, de acordo com o alerta, foi comprometer contas corporativas com técnicas de adversary-in-the-middle (AiTM), capazes de roubar tokens de sessão e contornar métodos tradicionais de autenticação em alguns cenários.

O que este artigo aborda:

• Como a campanha funcionou, segundo a análise técnica
• Quem foi mais visado e por que isso importa para empresas
• Medidas práticas de defesa recomendadas
• Contexto: por que golpes estão mudando de formato em 2026

Como a campanha funcionou, segundo a análise técnica

A Microsoft descreve um fluxo em camadas, com páginas intermediárias e redirecionamentos para aumentar a taxa de sucesso e reduzir suspeitas do usuário durante o clique.

Na prática, os alvos recebiam mensagens com aparência corporativa e linguagem de conformidade, levando a páginas que simulavam processos internos, como aceites de política e “código de conduta”.

Após a interação inicial, os invasores tentavam capturar credenciais e, principalmente, tokens, buscando manter acesso mesmo quando a vítima já utiliza autenticação em duas etapas.

O relatório cita o uso de domínios controlados pelos atacantes, além de infraestrutura rotativa, uma tática comum para prolongar a campanha e dificultar bloqueios permanentes.

• Isca temática: mensagens com “code of conduct” e supostos avisos de compliance.
• Encadeamento: redirecionamentos e múltiplas páginas para parecerem etapas legítimas.
• Foco em sessão: tentativa de obter tokens para manter acesso autenticado.
• Infraestrutura dinâmica: troca de provedores e padrões de registro de domínios.

Quem foi mais visado e por que isso importa para empresas

De acordo com a Microsoft, a maioria dos alvos estava nos Estados Unidos, mas a abrangência internacional do disparo indica capacidade de escalar rapidamente em ambientes corporativos.

Esse tipo de operação é especialmente crítico porque ataca o “elo humano” e tenta driblar controles de segurança baseados apenas em senha e MFA tradicional.

Na leitura de especialistas, a sofisticação do AiTM está em capturar o acesso “já autenticado”, o que pode reduzir a eficácia de métodos que não são resistentes a phishing.

O alerta também reforça um movimento observado em outros relatórios recentes: campanhas estão usando cada vez mais engenharia social e técnicas de evasão para atravessar filtros de e-mail.

• Risco imediato: tomada de conta (account takeover) e acesso a e-mails, arquivos e sistemas internos.
• Risco operacional: fraude financeira, espionagem e movimentação lateral dentro da rede.
• Risco jurídico: exposição de dados e necessidade de notificação conforme regras internas e contratos.

Medidas práticas de defesa recomendadas

A própria Microsoft vem defendendo, em diferentes alertas, a adoção de autenticação resistente a phishing, com prioridade para chaves e padrões como FIDO2/WebAuthn.

Além disso, organizações podem reduzir a superfície de ataque com políticas de acesso condicional, revisão de apps autorizados e bloqueio de logins suspeitos por localização e dispositivo.

Outra frente é a conscientização: campanhas “de compliance” funcionam porque exploram urgência e medo de punição, o que aumenta cliques impulsivos em ambientes corporativos.

Em um relatório de tendências do trimestre, a empresa afirmou ter detectado aproximadamente 8,3 bilhões de ameaças de phishing por e-mail no 1º trimestre de 2026, indicando escala industrial do problema.

1. Priorizar MFA resistente a phishing: FIDO2/WebAuthn para contas críticas.
2. Regras de acesso condicional: bloquear logins fora de padrões de dispositivo e localização.
3. Treinar por cenário: simulações de e-mails “internos” de RH/compliance e testes recorrentes.
4. Resposta rápida: playbooks para revogar sessões, redefinir credenciais e isolar endpoints.
5. Telemetria e caça: monitorar picos de redirecionamentos e criação anômala de sessões.

Contexto: por que golpes estão mudando de formato em 2026

A Microsoft e outros fornecedores de segurança têm observado uma migração de táticas, com criminosos explorando QR codes, páginas intermediárias e fluxos de autenticação para escapar de barreiras tradicionais.

Um exemplo dessa tendência apareceu em cobertura recente que apontou alta de 146% no phishing com QR code (o chamado “quishing”), reforçando que os vetores estão se diversificando.

No caso específico do “code of conduct”, a escolha do tema sugere um desenho pensado para ambientes corporativos, onde políticas internas e treinamentos são comuns, tornando a narrativa plausível.

Para empresas brasileiras com operações globais, o recado é direto: campanhas internacionais podem atingir filiais e fornecedores com a mesma velocidade, e a proteção precisa ser padronizada.