
Uma campanha de ataques cibernéticos realizou mais de 81 milhões de tentativas de login contra contas do Microsoft 365 em apenas duas semanas, segundo informações divulgadas pelo BleepingComputer. A ofensiva utilizou técnicas automatizadas de password spraying — também conhecidas como adivinhação de senhas — para tentar acessar contas corporativas e pessoais sem explorar vulnerabilidades no serviço.
Os ataques consistem em testar senhas comuns ou previamente vazadas em um grande número de contas, reduzindo a chance de bloqueios automáticos por excesso de tentativas em um único usuário.
Como funcionou o ataque
De acordo com a investigação, os criminosos distribuíram milhões de tentativas de autenticação de forma automatizada, utilizando infraestrutura capaz de simular acessos provenientes de diferentes localidades.
A estratégia dificulta a identificação da atividade maliciosa e aumenta as chances de encontrar contas protegidas por senhas fracas, reutilizadas ou expostas em vazamentos anteriores.
Contas sem autenticação multifator são as mais vulneráveis
Especialistas alertam que usuários que utilizam apenas senha para acessar o Microsoft 365 correm riscos significativamente maiores durante campanhas desse tipo.
Mesmo que a senha seja descoberta, a autenticação multifator (MFA) adiciona uma camada extra de proteção, dificultando o acesso não autorizado às contas.
Empresas devem reforçar a proteção
Diante do volume expressivo de tentativas de login, especialistas recomendam que organizações adotem medidas como:
- habilitar autenticação multifator para todos os usuários;
- utilizar senhas fortes e exclusivas;
- monitorar tentativas de login suspeitas;
- bloquear autenticações provenientes de locais incomuns;
- revisar periodicamente contas com privilégios elevados.
Também é importante desativar contas inativas e adotar políticas de bloqueio para reduzir o impacto de ataques automatizados.
Ataques automatizados continuam crescendo
Campanhas de password spraying permanecem entre as técnicas mais utilizadas por grupos criminosos porque exploram falhas de configuração e hábitos inseguros dos usuários, sem depender de vulnerabilidades técnicas nos sistemas.
O caso demonstra que, mesmo em plataformas amplamente utilizadas como o Microsoft 365, a adoção de boas práticas de segurança e mecanismos adicionais de autenticação continua sendo a principal defesa contra tentativas massivas de invasão.



