Pesquisadores da Check Point Software identificaram uma campanha global de phishing que abusou de funcionalidades do Microsoft Teams para enganar usuários com convites falsos que simulavam notificações de cobrança e assinatura. Na América Latina, o Brasil concentrou 44% da atividade registrada, liderando a região em volume de ataques.
Campanha explorou convites legítimos do Microsoft Teams
De acordo com a equipe de segurança de e-mail e colaboração da Check Point Software, cibercriminosos exploraram o recurso de convite para participantes externos do Microsoft Teams em larga escala. Ao todo, foram enviadas 12.866 mensagens maliciosas que atingiram 6.135 usuários, uma média de aproximadamente 990 mensagens por dia.
Em vez de utilizar links maliciosos, os atacantes criaram equipes com nomes que simulavam alertas financeiros e notificações de faturamento. O objetivo era induzir as vítimas a ligar para um suposto número de suporte, caracterizando um golpe de vishing que consegue driblar filtros tradicionais baseados em links.
Engenharia social sem uso de links
A dinâmica do ataque começa com a criação de uma nova equipe no Microsoft Teams, cujo nome é cuidadosamente elaborado para parecer um aviso urgente de cobrança ou assinatura. Um dos padrões identificados foi:
“Subscription Auto-Pay Notice (Invoice ID: 2025_614632PPOT_SAG Amount 629. 98 USD). If you did not authorize or complete this m0nthly Payment,ple𝒂se c0ntact our support team urgently”
Para evitar a detecção automática, os atacantes aplicam técnicas de ofuscação diretamente no nome da equipe, como substituição de caracteres, uso de Unicode e glifos visualmente semelhantes. Dessa forma, o texto passa por controles de segurança, mas permanece compreensível para o usuário.
O convite é enviado por meio de um endereço legítimo da Microsoft, com o nome da equipe maliciosa em destaque e em fonte maior. Visualmente, a mensagem se assemelha a uma notificação real da plataforma, o que aumenta a taxa de confiança e a probabilidade de ação por parte da vítima.
Setores mais impactados
A análise da Check Point Software mostra que a campanha atingiu organizações de diversos setores, com maior incidência em ambientes onde o Microsoft Teams é amplamente utilizado. Os segmentos mais afetados foram manufatura, engenharia e construção, com 27,4%, seguidos por tecnologia, SaaS e TI, com 18,6%, educação, com 14,9%, e serviços profissionais, com 11,2%. Governo respondeu por 8,1% dos casos e o setor financeiro por 7,3%.
Segundo os pesquisadores, a distribuição indica que o impacto está mais relacionado à adoção da ferramenta de colaboração do que a um direcionamento específico por vertical.
Brasil lidera na América Latina
Globalmente, a maior parte das organizações afetadas está nos Estados Unidos, que concentraram 67,9% da atividade, seguidos pela Europa, com 15,8%, e pela Ásia, com 6,4%. A América Latina representou 2,4% do total, mas com forte concentração no Brasil.
Na região, o Brasil respondeu por 44% dos ataques, seguido por México, com 31%, Argentina, com 11%, Colômbia, com 8%, Chile, com 4%, e Peru, com 2%.
Alerta para conscientização dos usuários
A campanha demonstra como plataformas de colaboração corporativa podem ser exploradas para ataques de phishing sem o uso de links ou remetentes falsificados. O caso reforça a importância da conscientização dos usuários diante de convites inesperados no Microsoft Teams, especialmente quando o nome da equipe apresenta linguagem urgente de cobrança, números de telefone ou formatação incomum.
Reconhecido como solução líder no GigaOm Radar 2025 para Anti-Phishing, o Check Point Harmony Email & Collaboration adota uma abordagem em camadas para proteger organizações contra ataques de phishing, inclusive aqueles que exploram fluxos legítimos de comunicação corporativa.
