Phishing com falsos convites para calls vira porta de entrada para invasão de PCs corporativos
Falsos convites para reuniões em plataformas como Zoom, Microsoft Teams e Google Meet estão sendo usados por cibercriminosos para tomar o controle de computadores corporativos. O alerta vem do Netskope Threat Labs, que identificou uma onda de ataques explorando um hábito totalmente banal no dia a dia das empresas: entrar em “calls” o tempo todo, muitas vezes sem nem olhar com atenção para o e‑mail de convite.
O esquema começa com um e‑mail ou mensagem que parece um convite legítimo para uma reunião importante. O remetente, o assunto e até a linguagem usada no texto imitam o padrão real das plataformas de videoconferência ou de colegas de trabalho. Ao clicar no link, a vítima é levada a uma página extremamente parecida com a interface oficial dos serviços, com logotipos, cores, botões e, em alguns casos, até uma lista dinâmica de participantes que “já estão na sala”, reforçando a sensação de autenticidade.
Quando o usuário tenta ingressar na reunião, surge um aviso de que é necessária uma atualização para continuar: algo como “você precisa atualizar o aplicativo para entrar na call” ou “versão desatualizada, faça o update para prosseguir”. Esse é o momento em que o golpe se concretiza.
A “atualização” oferecida não é uma nova versão do Zoom, Teams ou Meet, mas sim um software de acesso remoto (RMM – Remote Monitoring and Management), o mesmo tipo de ferramenta amplamente utilizado em empresas para suporte técnico remoto e administração de máquinas. Entre os exemplos observados estão soluções como Datto RMM, LogMeIn e ScreenConnect.
Como são programas legítimos, usados no dia a dia de muitas equipes de TI e assinados digitalmente pelos fabricantes, esses RMM não costumam disparar alertas dos antivírus tradicionais. Para o sistema, tudo parece normal: um software assinado, de fornecedor conhecido, sem comportamento típico de malware. Só que, nas mãos do invasor, ele se transforma em uma porta dos fundos totalmente aberta.
Uma vez instalado, o criminoso passa a ter controle administrativo completo do computador da vítima. Isso inclui enxergar a tela em tempo real, movimentar o mouse, digitar comandos, copiar e apagar arquivos, instalar outros programas maliciosos e até usar o equipamento comprometido como ponto de apoio para se espalhar pela rede corporativa.
Ray Canzanese, diretor do Netskope Threat Labs, resume o problema como um exemplo clássico de engenharia social. Ele lembra que quase todo mundo já se acostumou a receber notificações de atualização de ferramentas de videoconferência, e por isso o cérebro entra em “modo automático”. O usuário repete um comportamento que já executou dezenas de vezes – clicar em “atualizar” para conseguir entrar na reunião – sem suspeitar de nada. A combinação de uma interface convincente, de um cenário de urgência (“a reunião já começou”) e de um software legítimo de RMM faz o ataque parecer totalmente normal.
Com acesso privilegiado a uma única máquina, o invasor pode usar o computador da vítima como trampolim para ações muito mais graves. É possível buscar credenciais salvas no navegador, conectar-se a servidores internos, mapear compartilhamentos de rede e, a partir daí, roubar grandes volumes de dados sensíveis ou preparar a implantação de ransomware em toda a organização. Em muitos incidentes, o computador de um único funcionário acaba sendo o ponto de partida para a paralisação completa de operações.
Como funciona o ataque, passo a passo
1. Envio do convite falso – O atacante envia um e‑mail ou mensagem com assunto atraente, geralmente citando reuniões urgentes, temas críticos, diretoria ou clientes importantes.
2. Página de login falsa – O link direciona a vítima para um site que reproduz a aparência de Zoom, Teams ou Meet, inclusive com mensagens como “Aguardando host” ou “Participantes na reunião”.
3. Mensagem de “atualização obrigatória” – Ao clicar em “Entrar na reunião”, aparece um pop‑up indicando que é necessário baixar uma atualização para continuar.
4. Download do RMM – O usuário baixa e executa o instalador acreditando se tratar do cliente de videoconferência. Na prática, instala um software RMM.
5. Conexão do atacante – Assim que o RMM se conecta ao servidor controlado pelo criminoso, ele passa a ter acesso remoto total ao dispositivo, quase sempre sem que a vítima perceba.
Por que esse tipo de phishing é tão eficaz?
– Rotina e pressa: reuniões virtuais fazem parte da rotina, e muitas são marcadas em cima da hora. A pressa para não se atrasar reduz o senso crítico.
– Confiança na marca: ver logotipos conhecidos e interfaces familiares dá ao usuário uma falsa sensação de segurança.
– Uso de software legítimo: como o RMM não é, em si, um malware clássico, há menos chance de bloqueio automático.
– Barreira psicológica baixa: a ação pedida ao usuário – “instalar uma atualização para entrar na call” – é exatamente o que ele está acostumado a fazer em cenários reais.
Sinais de alerta para identificar convites falsos
Apesar do nível de sofisticação, há alguns indícios que podem ajudar a identificar o golpe:
– Endereço de e‑mail suspeito: domínios muito parecidos com os oficiais, mas com pequenas alterações de letra, números ou extensões diferentes.
– Link encurtado ou estranho: convites legítimos costumam usar domínios oficiais e claros; se o link parece obscuro, é um sinal de atenção.
– Erros de gramática ou formatação: textos com erros grosseiros ou estrutura pouco profissional são red flags, mesmo quando o visual da página é bom.
– Exigência de instalação inesperada: se você já tem o cliente oficial de videoconferência instalado e, de repente, é forçado a baixar outro programa desconhecido, pare e verifique.
– Arquivo com nome genérico: instaladores com nomes vagos, sem referência clara à plataforma (ou com nome de outro fornecedor), são suspeitos.
Boas práticas para usuários finais
Para reduzir o risco de cair nesse tipo de phishing, funcionários e colaboradores podem adotar algumas medidas simples:
– Sempre conferir o remetente do convite antes de clicar no link. Se tiver dúvida, confirme o agendamento por outro canal, como chat corporativo ou telefone.
– Evitar instalar atualizações a partir de links de e‑mail. Atualize Zoom, Teams e outras ferramentas sempre pelo aplicativo oficial ou pela loja confiável do sistema operacional.
– Verificar o domínio na barra de endereços do navegador. Antes de inserir qualquer dado ou baixar arquivos, confira se o endereço é exatamente o oficial do serviço.
– Desconfiar de urgência exagerada: mensagens insistindo que você “entre agora ou perderá a reunião” podem ser truque de pressão psicológica.
– Reportar imediatamente à equipe de TI qualquer convite estranho ou janela de atualização inesperada.
O que as empresas podem fazer para se proteger
Do lado corporativo, a proteção não pode depender apenas da atenção individual do usuário. Algumas estratégias importantes:
– Treinamento contínuo de conscientização: campanhas regulares explicando esse tipo de golpe, com exemplos práticos e simulações internas de phishing.
– Política clara de instalação de software: restringir a possibilidade de usuários comuns instalarem programas sem aprovação, reduzindo o risco de RMMs não autorizados.
– Lista de RMMs permitidos e bloqueio dos demais: soluções de segurança podem ser configuradas para detectar e bloquear ferramentas de acesso remoto não aprovadas.
– Monitoramento de acessos remotos: logs e alertas específicos para conexões RMM em horários incomuns ou partindo de IPs desconhecidos.
– Segmentação de rede: mesmo que uma máquina seja comprometida, segmentar a rede dificulta o movimento lateral do invasor.
Papel da equipe de segurança e de TI
Equipes de cibersegurança precisam tratar ferramentas de acesso remoto com alta criticidade. Isso inclui:
– Mapear quais RMMs são de uso legítimo e onde estão instalados.
– Acompanhar ativamente vulnerabilidades conhecidas em softwares de acesso remoto.
– Adotar soluções de EDR/XDR capazes de identificar comportamentos anômalos mesmo em aplicações legítimas.
– Criar procedimentos claros para incidentes envolvendo acesso remoto não autorizado, com planos de isolamento rápido das máquinas suspeitas.
Impacto potencial: de um PC comprometido ao caos organizacional
Uma única instalação indevida de RMM via phishing não é apenas um “pequeno incidente”. Em empresas com muitos sistemas integrados, credenciais reutilizadas e acesso amplo a dados internos, o atacante pode:
– Roubar dados de clientes, projetos e propriedade intelectual.
– Desativar sistemas críticos ou criptografá‑los com ransomware.
– Usar o ambiente da empresa para lançar ataques contra parceiros e fornecedores.
– Comprometer diretoria e times financeiros por meio de movimentação lateral e escalada de privilégios.
Em alguns casos, incidentes desse tipo acabam afetando faturamento, imagem pública, relação com investidores e até a continuidade do negócio.
Cultura de segurança aplicada ao dia a dia das chamadas
Como reuniões virtuais se tornaram o centro da rotina corporativa, é essencial incorporar segurança ao próprio ritual da “call”. Isso inclui:
– Incluir um lembrete periódico em reuniões gerais sobre golpes envolvendo convites falsos.
– Estimular que ninguém tenha vergonha de perguntar “esse convite é legítimo?” antes de clicar.
– Padronizar a forma como convites são enviados internamente (por exemplo, sempre pelo calendário corporativo), para que qualquer desvio chame atenção.
– Reforçar que atualizações de aplicativos devem seguir procedimentos oficiais definidos pela TI.
Ataques de phishing com falsos convites para calls mostram como cibercriminosos se aproveitam de rotinas banais e de softwares legítimos para driblar as defesas tradicionais. À medida que o trabalho remoto e híbrido se consolidam, o risco tende a crescer. Combinar tecnologia, processos bem definidos e educação constante dos usuários deixa esse tipo de golpe muito menos eficaz – e pode evitar que um simples clique numa “reunião urgente” se transforme no início de uma crise de segurança de grandes proporções.