How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

Alto risco Perda média: $3,000 Duração típica: 1-7 days

Phishing de Consentimento OAuth: Roubo de Identidade Através de Permissões de Aplicativos

O phishing de consentimento OAuth explora a estrutura de autenticação OAuth confiável usada pelo Microsoft 365, Google Workspace e outras plataformas em nuvem. Em vez de roubar senhas diretamente, os atacantes criam aplicativos terceirizados maliciosos que solicitam amplas permissões para acessar email, arquivos, contatos e recursos em nuvem. Quando vítimas clicam em 'Permitir' ou 'Aceitar' em uma tela de login que parece legítima, elas inadvertidamente concedem ao aplicativo do atacante acesso persistente às suas contas—acesso que contorna a autenticação multifator e permanece ativo mesmo após mudanças de senha. Este vetor de ataque aumentou 300% desde 2021, de acordo com o Relatório de Defesa Digital da Microsoft, com o Centro de Reclamações de Crimes pela Internet do FBI vinculando mais de $43 milhões em perdas de compromisso de email corporativo a ataques baseados em OAuth em 2023. A técnica é particularmente perigosa porque aproveita infraestrutura de autenticação legítima, dificultando a detecção tanto para usuários quanto para ferramentas de segurança tradicionais. Diferentemente do roubo de credenciais, o phishing de consentimento OAuth não dispara alertas de violação de senha ou avisos de login suspeito. Os atacantes normalmente entregam essas solicitações OAuth maliciosas através de campanhas de email sofisticadas, convites falsos de colaboração ou sites comprometidos. A FTC relata que 68% das vítimas são funcionários de pequenas e médias empresas que recebem notificações falsas do SharePoint ou convites para reuniões do Teams. As perdas financeiras médias atingem R$ 15.000 para indivíduos, mas as organizações enfrentam custos substancialmente maiores, chegando a R$ 235.000 por incidente quando incluindo exfiltração de dados, interrupção de negócios e despesas de remediação.

Táticas comuns Como identificar Como se proteger Casos reais Perguntas frequentes Onde denunciar

Táticas comuns

• Atacantes registram aplicativos maliciosos em provedores OAuth usando nomes que imitam serviços legítimos como 'Office365 Security Update' ou 'Google Drive Scanner' para parecer confiáveis durante a tela de consentimento.
• Golpistas enviam emails de phishing contendo links para páginas de consentimento OAuth, frequentemente disfarçados como notificações de compartilhamento de documentos, convites de reunião ou alertas de segurança urgentes exigindo ação imediata.
• Criminosos elaboram solicitações de permissão que parecem mínimas mas na verdade concedem acesso extenso—solicitando permissões 'Ler seu email' que incluem acesso completo à caixa de correio e capacidades de encaminhamento de mensagens.
• Atacantes usam táticas de pressão temporal em seus engodos, afirmando que contas serão bloqueadas, arquivos serão excluídos ou documentos urgentes exigem revisão imediata dentro de horas para contornar a consideração cuidadosa das vítimas.
• Operações sofisticadas comprometem primeiro contas legítimas de funcionários, depois enviam links de phishing OAuth de endereços de email internos confiáveis para aumentar taxas de sucesso dentro das organizações.
• Golpistas mantêm acesso persistente solicitando permissões offline_access, permitindo que seus aplicativos maliciosos mantenham acesso à conta indefinidamente sem exigir que a vítima se autentique novamente.

Como identificar

A tela de consentimento OAuth aparece após clicar em um link em um email inesperado, especialmente mensagens urgentes sobre documentos compartilhados, atualizações de segurança ou verificação de conta que você não solicitou.
O nome do aplicativo na tela de consentimento contém termos genéricos, erros ortográficos ou nomenclatura suspeita como 'Secure Email Reader' ou 'Document Viewer Pro' em vez de marcas reconhecíveis.
Solicitações de permissão incluem escopos de acesso amplos como 'Acesso de leitura e gravação a todos os seus arquivos', 'Enviar email em seu nome' ou 'Acesso a todos os seus contatos' quando a função alegada não requer permissões tão extensas.
As informações do editor mostram 'Não verificado' ou exibem um nome de domínio suspeito em vez de um domínio de empresa oficial (microsoft.com, google.com) ou distintivo de editor verificado.
A solicitação de consentimento OAuth chega através de uma URL encurtada (bit.ly, tinyurl) ou cadeia de redirecionamento desconhecida em vez de vir diretamente do domínio oficial de um serviço conhecido.
O momento é suspeito—solicitações de consentimento aparecendo imediatamente após receber emails não solicitados sobre compartilhamento de documentos, convites de calendário ou alertas de segurança que criam urgência artificial.

Como se proteger

Antes de clicar em 'Aceitar' em qualquer tela de consentimento OAuth, verifique se o editor do aplicativo é verificado e se o domínio corresponde ao site oficial da empresa—passe o mouse sobre links e verifique o destino da URL real.
Revise cuidadosamente as permissões solicitadas e rejeite qualquer aplicativo solicitando acesso além do necessário para seu propósito declarado; um visualizador de documentos não deve precisar de permissões de envio de email.
Configure políticas organizacionais em consoles de administração do Microsoft 365 ou Google Workspace para restringir instalações de aplicativos OAuth a aplicativos pré-aprovados ou exigir consentimento do administrador para aplicativos solicitando permissões sensíveis.
Audite regularmente aplicativos conectados em suas configurações de conta (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) e revogue imediatamente acesso a aplicativos desconhecidos ou não utilizados.
Ative registro aprimorado e monitoramento de concessões de consentimento OAuth em ambientes corporativos usando corretores de segurança de acesso em nuvem (CASB) ou ferramentas de segurança integradas para detectar permissões de aplicativos suspeitas.
Implemente treinamento de conscientização do usuário especificamente sobre phishing de consentimento OAuth, ensinando funcionários a reconhecer solicitações OAuth legítimas versus maliciosas e estabelecer protocolos claros para verificar autenticidade do aplicativo antes de conceder acesso.

Casos reais

Um gerente de marketing em uma pequena empresa de consultoria recebeu um email aparentemente de uma conta Microsoft 365 de um colega com o assunto 'Orçamento Q4 - Precisa de Sua Revisão URGENTE'. Clicar no link do SharePoint levou a uma tela de consentimento OAuth para um aplicativo chamado 'Office Document Viewer'. Dentro de horas após conceder acesso, o aplicativo do atacante encaminhou 2.847 emails para uma conta externa, incluindo contratos de clientes contendo dados bancários que foram usados para redirecionar um pagamento de R$ 140.000.

Um diretor de RH recebeu o que parecia ser um convite do Google Calendar para uma reunião executiva urgente. Aceitar o convite acionou uma solicitação OAuth para um aplicativo de calendário solicitando 'acesso básico ao calendário'. A vítima aprovou sem perceber as permissões adicionais para acesso a Gmail e Drive. Nos próximos três dias, o atacante exfiltrou informações pessoais de funcionários incluindo números de CPF de 340 funcionários antes que a violação fosse descoberta durante uma auditoria de segurança rotineira.

O proprietário de uma pequena empresa clicou em um link em um email alegando que sua conta Dropbox tinha atividade suspeita e exigia verificação. A tela de consentimento OAuth parecia legítima, marcada com cores do Dropbox e solicitando 'permissões de verificação de conta'. Após aprovação, o aplicativo malicioso acessou o armazenamento em nuvem da empresa, criptografou arquivos críticos de negócios e exigiu um resgate de R$ 22.500. Como o acesso foi concedido através do OAuth legítimo, a atividade de criptografia não disparou alertas de segurança até que danos significativos ocorressem.

Perguntas frequentes

Como o phishing de consentimento OAuth é diferente de ataques de phishing regulares?

Diferentemente do phishing tradicional que rouba senhas, o phishing de consentimento OAuth o engana para conceder permissões de acesso legítimas a aplicativos maliciosos. Isso significa que os atacantes contornam a autenticação multifator, e mudar sua senha não revogará seu acesso. O ataque explora o próprio framework OAuth confiável, tornando-o mais difícil de detectar já que o acesso aparenta estar autorizado através de canais de autenticação normais.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), phishing de consentimento oauth: roubo de identidade através de permissões de aplicativos is described at https://scamlens.org/pt/encyclopedia/oauth-consent-phishing.

https://scamlens.org/pt/encyclopedia/oauth-consent-phishing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API