Ataques via convites do Microsoft Teams atingem Brasil e LATAM
Pesquisadores detectaram uma campanha de phishing que abusa da funcionalidade "Invite a Guest" do Microsoft Teams para enviar mensagens maliciosas que parecem vir de serviços legítimos da Microsoft; o Brasil concentra parcela relevante das vítimas na região.
Resumo do ataque
Conforme reportado pelo Cyber Security News, os atacantes criam equipes com nomes enganosos (muitas vezes contendo obfuscações e substituições de caracteres) com textos que simulam notificações de cobrança urgentes. Usando o recurso de convidar convidados, eles disparam convites por e-mail legítimos (ex.: noreply@email.teams.microsoft.com) — o que faz com que as mensagens ultrapassem checagens SPF/DKIM/DMARC.
Mecanismo e vetor de engenharia social
Ao invés de enviar links maliciosos convencionais, a mensagem exibe no corpo o nome da equipe com a notificação fraudulenta e um número de telefone de suporte para vishing (engenharia social por telefone). Exemplo observado inclui nomes formatados para induzir pânico com referências a pagamentos e IDs de faturas. Para burlar filtros automáticos, os atacantes inserem substituições de caracteres, Unicode misto e grafias confusas.
Escopo e impactos observados
- Escala: a telemetria reportada documentou 12.866 mensagens de phishing no pico da campanha, alcançando aproximadamente 6.135 clientes distintos;
- Setores mais afetados: manufatura/engenharia/construção (27,4%), Tecnologia/SaaS/IT (18,6%) e Educação (14,9%); também houve vítimas em serviços profissionais, governo e finanças;
- Distribuição geográfica: foco principal na América do Norte (67,9%), Europa (15,8%) e Ásia (6,4%); entre os países LATAM a maior participação foi no Brasil (44%) e México (31%).
Por que esse ataque é eficaz
O uso da infraestrutura legítima do Teams para envio (e‑mails originados por dominios oficiais da Microsoft) faz com que controles baseados apenas em autenticação de e‑mail sejam insuficientes. Além disso, a ênfase em vishing remove o vetor clássico de links maliciosos, substituindo-o por um contato telefônico que pode extrair credenciais diretamente de funcionários desprevenidos.
Mitigações recomendadas
- Educação do usuário: treinar funcionários para desconfiar de convites inesperados e evitar chamadas para números indicados em mensagens não solicitadas;
- Políticas de convite externo: restringir quem pode convidar convidados e aplicar revisões ou aprovações para convites externos em ambientes corporativos;
- Monitoramento e detecção: criar regras para detectar nomes de equipe contendo padrões de cobrança, números de telefone ou caracteres incomuns e alertar equipes de segurança;
- Procedimentos de verificação: instruir equipes de suporte internas a verificar com canais oficiais antes de realizar resets de senha ou concessão de privilégios.
Observações finais
Esta campanha demonstra uma lacuna nas defesas que assumem que e‑mails originados por infraestrutura legítima são automaticamente benignos. Organizações com presença na LATAM, especialmente no Brasil, devem priorizar controles sobre convites externos e reforçar awareness contra vishing.
Fonte: Cyber Security News