Brecha no Microsoft Teams permite phishing indetectável; entenda o golpe

A vulnerabilidade principal reside na forma como o Microsoft Teams lida com a comunicação entre diferentes organizações (tenants). Ao explorar essa funcionalidade, os criminosos conseguem criar um cenário de ataque que engana tanto os sistemas de detecção automatizados quanto os usuários, que confiam na legitimidade da plataforma de comunicação corporativa. O golpe é particularmente perigoso por não depender de links maliciosos ou anexos óbvios, mas sim da manipulação da confiança do usuário.

Veja também:

• XP, BTG e Nubank na Mira: Justiça Analisa Venda de CDBs do Master
• BTG NÃO SERÁ LIQUIDADO: Entenda o Fim do Banco PAN e Ação do Master

Como Funciona o Ataque de Phishing no Teams

O método de ataque, classificado como uma forma de vishing (phishing por voz) e engenharia social, se baseia em explorar a função de notificação automática do Teams. O processo de ataque se desenrola em várias etapas:

1. Criação da Isca

Os criminosos criam uma nova equipe ou canal no Microsoft Teams. O nome dessa equipe é cuidadosamente elaborado para se parecer com um alerta urgente de um serviço financeiro ou de TI. Por exemplo, a equipe pode ser nomeada como "Aviso de Pagamento Automático da Assinatura – ID da Fatura: 2025_614632PPOT_SAG – Valor 629,98 USD".

2. Ativação da Notificação Legítima

O atacante adiciona o alvo como "convidado" a essa equipe recém-criada. O ponto crucial do ataque é que, ao fazer isso, o próprio Microsoft Teams envia automaticamente um e-mail de notificação para o usuário. Este e-mail é disparado do endereço oficial e legítimo da Microsoft (no-reply@teams.mail.microsoft.com), o que faz com que ele passe ileso pelos filtros de spam e gateways de segurança de e-mail da organização.

3. O Engano e a Obscuridade

A notificação por e-mail contém o nome da equipe maliciosa, que aparece em destaque no corpo da mensagem. Para aumentar a credibilidade e evitar a detecção por sistemas automatizados de palavras-chave, os criminosos frequentemente utilizam técnicas de ofuscação. Eles substituem letras por números ou símbolos visualmente semelhantes (homóglifos), como usar o número zero no lugar da letra "O", ou misturam caracteres Unicode especiais. Isso torna a mensagem ilegível para os filtros, mas perfeitamente compreensível para o olho humano.

4. A Transição para o Vishing (Phishing por Voz)

O objetivo do golpe não é fazer o usuário clicar em um link, mas sim induzi-lo a ligar para um número de telefone fraudulento. A mensagem de notificação geralmente inclui uma instrução urgente, como "Se você não autorizou este pagamento mensal, entre em contato com nossa equipe de suporte com urgência". Quando o usuário liga para o número, os criminosos se passam por atendentes de suporte técnico e utilizam técnicas de engenharia social para roubar credenciais, informações de cartão de crédito ou solicitar acesso remoto ao dispositivo da vítima.

O Risco da Confiança no Ambiente Corporativo

A eficácia desse tipo de ataque de phishing reside na confiança que os usuários depositam no ambiente de comunicação corporativo. Diferentemente de e-mails de phishing tradicionais, que muitas vezes apresentam erros de gramática ou endereços de remetente suspeitos, este golpe se disfarça como uma comunicação interna ou uma notificação oficial de um serviço confiável. A percepção de que a mensagem é "interna" ou "oficial" reduz a vigilância do usuário.

Além disso, a vulnerabilidade explora a integração do Teams com outros serviços do Microsoft 365, como o SharePoint e o OneDrive. Uma vez que um atacante obtém acesso a uma conta, ele pode se mover lateralmente pela rede da organização, roubando dados sensíveis e escalando privilégios. Pesquisas de segurança, como as da Check Point Research, demonstraram que vulnerabilidades no Teams permitiam até mesmo a falsificação de identidades em chamadas de áudio e vídeo e a edição invisível de mensagens já enviadas, sem acionar o rótulo "Editado".

Recomendações de Segurança e Mitigação

Para mitigar os riscos de ataques de phishing no Microsoft Teams, as organizações e os usuários devem adotar as seguintes medidas de segurança:

• Treinamento de Conscientização: Eduque os funcionários sobre as táticas de engenharia social e vishing. Reforce a importância de verificar a autenticidade de qualquer solicitação de pagamento ou informação confidencial, mesmo que pareça vir de uma fonte interna ou oficial.
• Configurações de Acesso Externo: Administradores de TI devem revisar e restringir as políticas de acesso externo no Microsoft Teams. Desabilitar a capacidade de usuários externos iniciarem chats com membros internos ou de adicionar convidados a equipes pode reduzir significativamente a superfície de ataque.
• Autenticação Multifator (MFA): Implemente a MFA para todas as contas de usuário. Mesmo que um atacante consiga roubar credenciais via phishing, a MFA impede o acesso não autorizado.
• Monitoramento de Atividade Suspeita: Utilize ferramentas de monitoramento para identificar atividades incomuns, como tentativas de login de locais geográficos incomuns, ou a criação de novas equipes com nomes suspeitos.
• Atualizações de Software: Mantenha o Microsoft Teams e todos os softwares de segurança atualizados para garantir que as vulnerabilidades conhecidas sejam corrigidas.