Campanha global de golpes telefônicos se apoia em plataformas SaaS confiáveis e tem Brasil como principal alvo
Uma investigação recente da Check Point Software revelou uma campanha coordenada de phishing telefônico em larga escala que se aproveita de plataformas digitais legítimas para enganar vítimas no mundo todo. Nessa operação, os criminosos enviaram cerca de 133.260 e-mails de golpe, todos devidamente autenticados, atingindo aproximadamente 20.049 empresas em diversos países. O Brasil concentra a maior parte dos alvos: 41% das organizações impactadas estão no país.
O que torna essa campanha especialmente perigosa é o uso estratégico de serviços legítimos de software como serviço (SaaS), como Microsoft, Zoom, Amazon Business, PayPal, YouTube e Malwarebytes. Em vez de criar domínios falsos ou tentar burlar diretamente sistemas de segurança, os golpistas passaram a inserir conteúdo fraudulento dentro dos próprios fluxos de notificação dessas plataformas, herdando automaticamente a credibilidade, a reputação e a autenticação dessas marcas.
—
De phishing por e-mail a golpe por telefone: a nova combinação
Embora tudo comece com um e-mail, o objetivo final não é que a vítima clique em um link malicioso, mas que ela faça uma ligação telefônica para um número controlado pelos criminosos. Dessa forma, os atacantes conseguem:
– Driblar filtros que analisam links e URLs suspeitos
– Evitar sistemas de reputação de domínios
– Contornar técnicas de sandboxing que analisam anexos e páginas maliciosas
– Levar a etapa mais crítica do golpe para uma conversa por voz, baseada em engenharia social
Esse modelo híbrido – e-mail legítimo + ação por telefone – reduz enormemente a probabilidade de detecção técnica e transfere o sucesso do ataque para a habilidade do golpista em convencer a vítima ao telefone.
—
Tendência em aceleração: exploração de SaaS como canal de ataque
Os pesquisadores apontam que essa campanha não é um caso isolado, mas parte de uma tendência em franca expansão: o uso indevido de fluxos legítimos de SaaS para disseminar golpes com alta taxa de entrega.
Em vez de:
– Registrar domínios falsos que podem ser rapidamente incluídos em listas de bloqueio
– Depender de servidores comprometidos, que podem ser derrubados
– Distribuir links maliciosos facilmente detectáveis e analisáveis
os cibercriminosos passam a:
– Criar contas reais em plataformas SaaS amplamente utilizadas
– Preencher campos de perfil, identidade, assunto ou mensagem com conteúdo fraudulento
– Deixar que o próprio sistema gere e-mail de notificação, com DKIM, SPF e DMARC válidos
– Usar domínios de alta reputação (como serviços da Microsoft ou Amazon) como “veículo” do golpe
O resultado é um e-mail que visualmente se parece com qualquer outra notificação de serviço e tecnicamente passa por todas as checagens de autenticação, o que dificulta tanto a detecção automatizada como a percepção de risco por parte do usuário.
—
Por que o Brasil aparece como epicentro da campanha
O fato de 41% das organizações afetadas estarem no Brasil indica um foco deliberado dos criminosos no mercado brasileiro. Alguns fatores que podem explicar essa concentração:
– Ampla adoção de plataformas SaaS internacionais por empresas brasileiras
– Grande número de pequenas e médias empresas com segurança digital ainda em amadurecimento
– Alta exposição a golpes de engenharia social já consolidados no país
– Menor maturidade, em muitos casos, no uso de mecanismos avançados de proteção de e-mail e autenticação forte
Essa combinação torna o país um terreno fértil para campanhas que se beneficiam de marcas globais confiáveis para aumentar a taxa de sucesso.
—
Como os ataques são estruturados: os três métodos principais
A campanha analisada pela Check Point Software mostrou três abordagens centrais, todas baseadas em exploração de funcionalidades nativas das plataformas SaaS.
Método 1 – Abuso de geração e redistribuição legítima de e-mails
Muitas plataformas SaaS permitem que o usuário controle textos de campos como:
– Nome da conta ou do remetente
– Descrição de perfil
– Mensagens personalizadas em convites, notas ou comentários
– Títulos ou assuntos de determinadas ações internas
Os atacantes:
1. Criam ou modificam uma conta em um serviço legítimo de SaaS.
2. Inserem texto fraudulento nesses campos controlados pelo usuário, por exemplo, incluindo um número de telefone e uma narrativa de “suporte”, “cancelamento de cobrança” ou “problema de conta”.
3. Disparam ações que fazem com que a plataforma gere notificações automáticas para outros usuários ou empresas (convites, alertas, lembretes, confirmações etc.).
4. O sistema envia um e-mail a partir do seu próprio domínio legítimo, com todos os parâmetros de autenticação corretos, incorporando integralmente o texto malicioso inserido pelo golpista.
Do ponto de vista técnico, trata-se de um e-mail “limpo”: vem de um domínio confiável, é assinado corretamente e não contém necessariamente links maliciosos. O foco é convencer a vítima a tomar uma ação por telefone, guiada pela mensagem inserida pelo atacante.
Método 2 – Exploração dos fluxos de notificação da Microsoft
O ecossistema Microsoft, com seus diversos produtos (como serviços de colaboração, armazenamento e produtividade), é especialmente atrativo para esse tipo de ataque, pois:
– Está presente em grande parte das empresas ao redor do mundo
– Possui diversos tipos de notificações automáticas (compartilhamento de arquivos, alertas de acesso, convites de reunião, comentários em documentos, entre outros)
– Envia mensagens a partir de domínios altamente confiáveis aos olhos de filtros de e-mail
O criminoso, ao criar ou manipular uma conta, pode:
– Inserir um número de telefone fraudulento e instruções em campos de comentários ou descrições
– Criar convites ou alertas que soem urgentes, como supostos incidentes de segurança, faturas, atualizações de pagamento ou notificações de bloqueio de conta
– Forçar a geração de e-mails em nome da plataforma, explorando a confiança e o hábito dos usuários de reagirem rapidamente a notificações da Microsoft
Como esses e-mails se parecem com qualquer outra comunicação legítima da plataforma, a probabilidade de a vítima acreditar que se trata de um contato autêntico é muito maior.
Método 3 – Uso de convites do Amazon Business
Outra vertente da campanha utilizou fluxos de convite do Amazon Business. A lógica é semelhante:
– O atacante cria ou adapta uma conta vinculada ao Amazon Business.
– Envia convites ou comunicações aparentemente relacionadas a negócios, compras corporativas ou problemas de faturamento.
– No corpo da mensagem, insere texto sugerindo que o destinatário precisa ligar para um determinado número para resolver uma pendência, confirmar dados ou cancelar uma cobrança.
Como se trata de uma marca amplamente reconhecida e associada a compras e pagamentos, muitos usuários tendem a reagir com rapidez a qualquer mensagem que envolva possíveis débitos indevidos ou bloqueios de conta, o que aumenta o poder de persuasão dos golpistas.
—
Por que essa estratégia é tão difícil de detectar
Do ponto de vista da defesa, esse tipo de ataque é particularmente desafiador por três motivos principais:
1. Autenticação impecável
Os e-mails passam por SPF, DKIM e DMARC com sucesso, pois são enviados pela própria infraestrutura legítima das plataformas. Isso reduz a eficácia de filtros baseados apenas em autenticação de remetente.
2. Ausência (ou baixa relevância) de links maliciosos
Como a ação final ocorre por telefone, muitas mensagens sequer contêm URLs suspeitas. Filtros tradicionais, focados em reputação de links e detecção de páginas maliciosas, têm pouco efeito.
3. Alto grau de familiaridade visual
O layout, o remetente e a aparência geral das notificações seguem o padrão oficial das plataformas, o que reduz o senso crítico do usuário – principalmente em contextos de pressa ou sobrecarga de e-mails.
—
A etapa crítica do golpe: a ligação telefônica
Uma vez que a vítima atende ao pedido do e-mail e telefona para o número indicado:
– Ela é atendida por um operador que se apresenta como suporte oficial da plataforma ou de um parceiro de pagamentos.
– O golpista conduz a conversa com scripts previamente preparados, explorando medo, urgência ou confusão.
– Podem ser solicitados dados confidenciais (como credenciais, códigos de autenticação, dados financeiros ou pessoais).
– Em alguns casos, as vítimas são orientadas a instalar softwares de acesso remoto, supostamente para “verificar o problema”, abrindo portas para invasões diretas ao ambiente corporativo ou doméstico.
Essa fase do ataque se apoia fortemente em engenharia social, treinamento prévio dos criminosos e técnicas de persuasão, o que torna a conscientização dos usuários um componente fundamental da defesa.
—
Como empresas e usuários podem se proteger
Diante dessa mudança no cenário de ameaças, algumas medidas se tornam prioritárias:
1. Treinamento focado em golpes híbridos (e-mail + telefone)
– Incluir em programas de conscientização exemplos específicos de golpes que começam em notificações legítimas e migram para chamadas telefônicas.
– Destacar a orientação: nunca ligar para números recebidos por e-mail sem verificar a autenticidade pelo canal oficial da empresa.
2. Políticas internas claras de contato com fornecedores e plataformas
– Definir e comunicar procedimentos padronizados para tratar avisos de cobrança, bloqueio de conta ou incidentes de segurança.
– Estabelecer que qualquer contato com provedores como Microsoft, Amazon, bancos ou processadores de pagamento deve ser iniciado a partir de canais oficiais já conhecidos (como portais autenticados ou números fixos constantes em documentos internos), e não a partir de e-mails recebidos.
3. Reforço de filtros de e-mail com foco em contexto, não apenas em autenticação
– Adotar soluções de segurança capazes de analisar o conteúdo e o contexto da mensagem, identificando padrões de engenharia social, termos de urgência e pedidos suspeitos de ação imediata.
– Usar análise comportamental para detectar anomalias no padrão de notificações recebidas.
4. Revisão das configurações de SaaS corporativos
– Avaliar permissões e políticas internas de uso de plataformas de colaboração e comunicação.
– Restringir, quando possível, o recebimento de convites públicos ou inesperados, ou aplicar camadas extras de validação.
5. Procedimentos de resposta a incidentes envolvendo engenharia social
– Orientar colaboradores sobre como agir se perceberem que caíram em um golpe ou compartilharam informações sensíveis ao telefone.
– Implementar processos rápidos de revogação de acessos, troca de senhas e notificação de equipes de segurança.
—
A importância da maturidade em autenticação e identidade
Outro aspecto crítico é a gestão de identidade e acesso. Mesmo que um colaborador tenha sido enganado, o impacto pode ser reduzido se:
– O ambiente utilizar autenticação multifator rigorosa.
– Houver segmentação adequada de privilégios, limitando o estrago potencial caso credenciais sejam expostas.
– A empresa monitorar ativamente logins suspeitos, acessos a partir de locais incomuns ou atividades atípicas em contas privilegiadas.
Campanhas desse tipo frequentemente têm como objetivo final o comprometimento de contas corporativas, acesso a dados financeiros ou implantação de malware em dispositivos internos.
—
O que esperar dos próximos meses
A concentração dos ataques nos últimos três meses indica que os cibercriminosos enxergam na exploração de SaaS um canal de alto retorno, baixo custo e baixa fricção. É razoável esperar:
– Expansão do uso de outras plataformas SaaS além das já observadas.
– Aperfeiçoamento das narrativas usadas nos e-mails e nas ligações, tornando o golpe ainda mais convincente.
– Segmentação por setor, com mensagens adaptadas para finanças, saúde, varejo, indústria e serviços públicos.
– Maior uso de automação na criação de contas, envio de notificações e gerenciamento das campanhas.
Empresas que dependem fortemente de serviços em nuvem e plataformas colaborativas precisam incorporar essa nova realidade em suas estratégias de segurança, deixando de tratar a autenticação de domínio como único indicador de confiabilidade.
—
Conclusão
A campanha de golpes telefônicos que explora plataformas digitais confiáveis marca uma mudança relevante no cenário de ameaças: cibercriminosos deixaram de tentar “imitar” grandes marcas para, em vez disso, usar as próprias marcas e infraestruturas legítimas como veículo dos ataques.
Com mais de 133 mil e-mails fraudulentos autenticados enviados a mais de 20 mil organizações, e com o Brasil concentrando 41% das vítimas empresariais, o recado é claro: confiar apenas na aparência e na origem do e-mail não é mais suficiente.
A resposta passa por uma combinação de tecnologia, processos e, principalmente, educação dos usuários – com foco em reconhecer que o golpe muitas vezes começa na caixa de entrada, mas se consuma na ligação telefônica.