Brasil é o país mais atacado da América Latina em nova campanha de phishing no Microsoft Teams
Pesquisadores da Check Point Software identificaram uma campanha global de phishing que vem explorando o Microsoft Teams como canal para enganar usuários corporativos. No recorte da América Latina, o Brasil aparece como o principal alvo: sozinho, o país concentrou 44% de toda a atividade registrada na região, consolidando-se como o mais visado pelos cibercriminosos nesse tipo de ataque.
Ao todo, foram mapeadas 12.866 mensagens maliciosas enviadas a 6.135 usuários em diversos países, o que representa uma média de quase 1.000 tentativas de golpe por dia. Em vez de recorrer a e-mails falsos tradicionais ou links diretamente maliciosos, os criminosos passaram a abusar de recursos legítimos do Microsoft Teams, transformando a plataforma de colaboração em um vetor eficiente de engenharia social.
Como funciona o golpe no Microsoft Teams
O ataque tem como ponto de partida a criação de uma nova equipe (team) dentro do Microsoft Teams. O criminoso configura essa equipe com um nome que remete a cobranças, faturas, assinaturas ou pagamentos recorrentes, sempre com tom de urgência e alerta financeiro. O objetivo é gerar preocupação imediata e acionar o “modo pânico” da vítima.
Um exemplo de padrão de nome utilizado é:
> “Subscription Auto-Pay Notice (Invoice ID: 2025_614632PPOT_SAG Amount 629.98 USD). If you did not authorize or complete this m0nthly Payment, ple𝒂se c0ntact our support team urgently”.
Em tradução livre:
“Aviso de pagamento automático da assinatura (ID da fatura: 2025_614632PPOT_SAG Valor: 629,98 USD). Se você não autorizou ou concluiu este pagamento mensal, por favor entre em contato com nossa equipe de suporte com urgência”.
Para escapar dos mecanismos automáticos de segurança, os atacantes aplicam técnicas de ofuscação no próprio nome da equipe. Entre os recursos usados estão:
– Substituição de letras por números ou símbolos semelhantes (por exemplo, “0” no lugar de “o”, “1” no lugar de “l”);
– Mistura de diferentes conjuntos de caracteres (incluindo Unicode) para confundir filtros automatizados;
– Uso de glifos visualmente parecidos, que para o usuário parecem letras comuns, mas dificultam a detecção por ferramentas de segurança.
Dessa forma, o texto continua perfeitamente legível para o usuário humano, mas tem maior chance de passar despercebido por sistemas que analisam padrões de conteúdo.
Convites legítimos, golpe sofisticado
Depois de criar a equipe maliciosa, o criminoso utiliza o recurso “Invite a Guest” (“Convidar um Participante”) do Microsoft Teams. Esse recurso é nativo da plataforma e amplamente usado para incluir parceiros, fornecedores ou clientes em canais de comunicação corporativa.
O convite chega ao usuário por e-mail, partindo de um endereço legítimo da Microsoft, com o nome da equipe em destaque e formatação muito semelhante a notificações autênticas da empresa. Esse é um dos pontos mais perigosos da campanha: a mensagem não parece vir de um remetente suspeito, e sim da própria infraestrutura da Microsoft, o que aumenta o nível de confiança da vítima.
Em vez de trazer um link que leve a um site malicioso, o golpe orienta o usuário a ligar para um número de “suporte” supostamente destinado a resolver a cobrança ou o pagamento automático não autorizado. Ou seja, trata-se de um ataque de vishing (voice phishing), que combina a aparência legítima de um convite corporativo com a pressão psicológica típica de golpes por telefone.
Esse modelo tem duas vantagens para o criminoso:
1. Contorna filtros de segurança que se baseiam em análise de URLs e anexos;
2. Explora diretamente a interação humana, conduzindo a vítima a fornecer dados financeiros ou autorizar transações por telefone.
Escala e impacto da campanha
A equipe de segurança de e-mail e colaboração da Check Point Software observou que essa tática vem sendo explorada em larga escala. As 12.866 mensagens detectadas foram direcionadas a 6.135 usuários, o que demonstra que muitos alvos receberam mais de uma tentativa ao longo do período analisado.
Os impactos foram percebidos em organizações de diferentes portes e segmentos, indicando que o critério principal dos atacantes não é tanto o nicho de negócio, mas sim o grau de adoção do Microsoft Teams. Setores que utilizam intensamente a plataforma para reuniões, mensagens e colaboração em projetos tendem a ser mais expostos, já que seus usuários estão habituados a receber convites e notificações diariamente.
A distribuição regional mostra que a campanha é global, mas a América Latina surgiu como um dos focos relevantes — e, dentro da região, o Brasil se destacou com 44% de toda a atividade observada. Isso reforça a posição do país como um dos principais alvos de ciberataques que exploram engenharia social, seja por e-mail, por aplicativos de mensagem ou, como agora, por ferramentas corporativas de colaboração.
Por que o Brasil se tornou alvo prioritário
O protagonismo do Brasil nesses ataques não é por acaso. Entre os fatores que ajudam a explicar essa concentração, destacam-se:
– Grande base de empresas que adotaram o trabalho híbrido ou remoto, acelerando o uso de plataformas como Microsoft 365 e Teams;
– Cultura digital intensa, com alto número de usuários conectados e grande volume de transações online;
– Nível ainda desigual de maturidade em cibersegurança entre organizações, especialmente em pequenas e médias empresas;
– Baixa conscientização de parte dos usuários em relação a golpes que envolvem cobranças, assinaturas e renovação de serviços.
Essa combinação torna o cenário especialmente fértil para ataques que simulam problemas de faturamento, assinaturas automáticas ou cobranças inesperadas. Muitos usuários, com receio de serem cobrados por algo que não contrataram, acabam reagindo por impulso e ligando rapidamente para o suposto suporte.
Do phishing tradicional ao vishing via plataformas corporativas
Um aspecto central dessa campanha é a mudança do modelo clássico de phishing baseado em links ou anexos infectados para um formato híbrido, que mistura:
– uso de serviços legítimos (Microsoft Teams);
– engenharia social em mensagens de convite;
– e uma etapa final de contato por telefone (vishing).
Ao remover o link malicioso da equação, os criminosos reduzem a eficácia de várias camadas de proteção que se apoiam em análise de URLs e verificação de reputação de domínios. Em lugar disso, exploram o elo mais fraco da cadeia: a pressa e a falta de desconfiança do usuário diante de uma notificação que “parece normal”.
Uma vez no telefone, os golpistas podem:
– solicitar dados de cartão de crédito ou débito para “cancelar” a cobrança;
– induzir a instalação de softwares de acesso remoto sob o pretexto de suporte técnico;
– convencer a vítima a realizar transferências ou pagamentos para “ajustes” e “estornos”;
– coletar informações pessoais e corporativas que poderão ser usadas em ataques futuros.
Sinais de alerta para usuários do Microsoft Teams
Para reduzir o risco de cair nesse tipo de golpe, usuários e empresas que utilizam o Microsoft Teams devem atentar para alguns sinais:
– Convites inesperados para equipes com nomes relacionados a cobrança, faturas, assinaturas ou pagamentos urgentes;
– Uso de valores em moeda estrangeira em empresas que não costumam operar internacionalmente;
– Mensagens que pedem para ligar imediatamente para um número de telefone, em vez de direcionar para canais oficiais da empresa;
– Pequenas distorções gráficas no texto, como números no lugar de letras ou caracteres incomuns;
– Pressão psicológica, prazos curtíssimos ou ameaças de bloqueio de conta, multa ou renovação automática caso a vítima não aja rapidamente.
Em ambientes corporativos, é fundamental que qualquer convite estranho seja validado com o time de TI ou com o gestor antes de ser aceito, principalmente se envolver questões financeiras.
Medidas recomendadas para as empresas
Organizações brasileiras, especialmente as que utilizam intensivamente o Microsoft Teams, precisam encarar essa campanha como um alerta para rever controles e políticas de segurança. Algumas ações práticas incluem:
– Treinamento contínuo de colaboradores sobre phishing, vishing e golpes que envolvem plataformas de colaboração;
– Políticas claras de atendimento e cobrança, reforçando que a empresa não solicita dados sensíveis por telefone a partir de convites inesperados;
– Revisão de configurações de convidados (guests) no Teams, limitando quem pode convidar participantes externos e em quais contextos;
– Monitoramento de eventos suspeitos relacionados a convites para equipes recém-criadas com nomes financeiros;
– Integração entre equipes de segurança, TI e área financeira, para identificar padrões anômalos de mensagens sobre faturamento.
Além disso, é importante educar as equipes para sempre validar, por canais internos e oficiais, qualquer comunicação que envolva valores, autorizações de pagamento ou alteração de forma de cobrança.
O papel da conscientização do usuário
A campanha analisada deixa evidente que, mesmo com ferramentas avançadas de proteção, a segurança digital continua dependendo fortemente do comportamento humano. Quando o ataque se apoia em canais legítimos e não utiliza links ou anexos maliciosos, a percepção crítica do usuário se torna o principal escudo.
Entre os pontos que precisam ser reforçados em treinamentos internos estão:
– Desconfiar de qualquer mensagem que misture urgência, tom de ameaça e temas financeiros;
– Verificar sempre, por meios independentes (como acessar diretamente o portal do serviço ou falar com o financeiro da própria empresa), antes de ligar para números fornecidos em mensagens;
– Reportar tentativas suspeitas imediatamente à equipe de segurança ou TI;
– Evitar compartilhar dados de pagamento, senha ou códigos de autenticação em chamadas telefônicas iniciadas a partir de mensagens não solicitadas.
Tendências futuras: colaboração como novo campo de batalha
O caso mostra uma tendência clara no cenário atual de ameaças: criminosos estão migrando cada vez mais dos canais tradicionais (como e-mail puro) para plataformas corporativas de colaboração, que se tornaram centrais para o dia a dia das empresas.
Ferramentas como Microsoft Teams, Slack, Zoom e outras deixaram de ser apenas ambientes de comunicação interna para se tornarem parte da superfície de ataque. Os cibercriminosos compreendem que:
– usuários confiam mais em notificações que parecem originadas de plataformas amplamente usadas;
– convites e mensagens dentro desses ambientes geram menor desconfiança do que e-mails isolados;
– a integração com e-mail, agenda e outros serviços cria múltiplos pontos de entrada.
Nesse contexto, o Brasil, com alta adoção dessas tecnologias e histórico de ser alvo preferencial de golpes digitais, tende a continuar no radar de campanhas semelhantes.
Conclusão: Brasil em destaque — e sob risco aumentado
A liderança do Brasil na América Latina em volume de ataques dessa campanha de phishing via Microsoft Teams expõe um cenário preocupante: o país não é apenas um grande mercado digital, mas também um campo de prova para cibercriminosos que exploram novos vetores e táticas.
O uso de convites legítimos, nomes de equipes com temática financeira e a transição do golpe para o telefone compõem uma estratégia desenhada para burlar controles técnicos e focar diretamente na fragilidade humana.
Para reduzir esse risco, não basta investir apenas em tecnologia. É indispensável combinar:
– políticas bem definidas;
– ajustes de configuração em plataformas de colaboração;
– processos de validação de cobranças e assinaturas;
– e, principalmente, programas contínuos de conscientização em cibersegurança.
Em um ambiente em que até um simples convite para entrar em uma equipe no Microsoft Teams pode ser o início de um ataque, a atenção redobrada dos usuários e a maturidade digital das organizações brasileiras passam a ser fatores decisivos para conter esse tipo de ameaça.