A campanha 'Payroll Pirate' envolve e-mails de phishing que enganam funcionários de universidades a inserir credenciais em páginas de login falsas que imitam seus portais de RH, como o Workday. Os golpistas empregam táticas de adversário no meio para interceptar códigos de autenticação multifator, permitindo-lhes acessar contas reais apesar das medidas de segurança.

Uma vez dentro, os atacantes alteram as configurações de folha de pagamento para redirecionar depósitos diretos para contas que controlam. Para evitar detecção, criam regras de e-mail que bloqueiam as notificações automáticas do Workday sobre essas mudanças. Em alguns casos, adicionam um número de telefone que controlam como opção de recuperação de backup para acesso persistente.

A Microsoft relatou que, desde março de 2025, atores de ameaças comprometeram 11 contas em três universidades. Essas foram usadas para enviar e-mails de phishing para quase 6.000 contas em 25 universidades. As iscas variam: um tema alega exposição a uma doença transmissível no campus, com um link para verificar o status; outro menciona mudanças recentes nos benefícios dos funcionários, levando a uma página de login disfarçada.

“O ator da ameaça usou e-mails de phishing realistas, direcionados a contas em várias universidades, para colher credenciais”, afirmou a Microsoft em seu aviso.

A campanha destaca vulnerabilidades em métodos de autenticação multifator não compatíveis com FIDO, como códigos de uso único via e-mail ou SMS, que são suscetíveis a interceptação. A Microsoft recomenda adotar opções compatíveis com FIDO, como passkeys ou chaves de segurança físicas, observando que não há violações conhecidas por esses métodos. Os usuários também devem revisar periodicamente as regras de filtragem de e-mail para bloqueios não autorizados em alertas de segurança.

Esse golpe reforça a necessidade de autenticação robusta em sistemas de RH na nuvem, especialmente à medida que o phishing evolui para mirar instituições educacionais.