Como ataques sofisticados estão explorando o Microsoft Teams para fraudes financeiras via Pix
O Microsoft Teams, amplamente adotado como ferramenta de colaboração corporativa, vem sendo explorado como vetor para fraudes financeiras altamente direcionadas, especialmente envolvendo transferências via Pix. Diferente de ataques tradicionais por e-mail, essa nova onda se apoia na confiança implícita do ambiente corporativo, combinando engenharia social avançada, automação e falhas técnicas de spoofing na plataforma.
Neste artigo técnico, analisamos como funcionam esses golpes, quais são as vulnerabilidades exploradas no Teams, os indicadores de comprometimento (IOCs) e as boas práticas de mitigação no Microsoft 365, mantendo uma abordagem aprofundada e baseada em casos reais.
Engenharia social no Microsoft Teams: quando a confiança vira vulnerabilidade
A migração massiva das comunicações internas para plataformas como o Microsoft Teams consolidou uma percepção de legitimidade nas interações via chat e chamadas. Enquanto usuários já demonstram maior ceticismo em relação a e-mails suspeitos, mensagens no Teams tendem a ser aceitas com menos questionamento, criando um vetor ideal para ataques de engenharia social.
Os atacantes exploram esse comportamento para contornar controles tradicionais de segurança, direcionando esforços principalmente ao setor financeiro das organizações.
Fraudes via Pix no Teams: foco estratégico em executivos e liderança
As campanhas observadas demonstram alto nível de planejamento e reconhecimento prévio. Utilizando ferramentas automatizadas e coleta de informações em fontes abertas (OSINT), os criminosos mapeiam a estrutura organizacional antes mesmo do primeiro contato.
Principais características do direcionamento:
- Ataques focados em executivos, gerentes e diretores
- Uso de contas externas se passando por lideranças internas
- Linguagem de urgência operacional
- Solicitações diretas de saldos bancários e capital de giro
- Ordem rápida de transferência via Pix para CNPJs específicos
Em março de 2026, 77% das tentativas de fraude no Teams foram direcionadas a cargos de liderança, com intervalos de apenas 29 segundos entre contatos, viabilizados por scripts automatizados e LLMs.
Anatomia do golpe: como funciona a fraude no Microsoft Teams
A análise de incidentes reais permite identificar um padrão recorrente de execução.
Sondagem e mapeamento de rotina
O atacante inicia a conversa com perguntas aparentemente inofensivas, como disponibilidade ou carga de trabalho. O objetivo é identificar um momento de menor atenção para avançar rapidamente com solicitações financeiras.
Isolamento e canais paralelos
Ao perceber que o colaborador precisa envolver outras pessoas, o golpista tenta centralizar a comunicação, solicitando:
- Envio direto de capturas de tela
- Inclusão de contas externas de e-mail pessoal
- Comunicação fora dos sistemas monitorados da empresa
Esse isolamento reduz a chance de detecção pelos controles internos.
Execução do desvio financeiro
Com os dados em mãos, o atacante fornece instruções objetivas de pagamento, exigindo Pix imediato para uma empresa de fachada. Em casos recentes, houve solicitações fraudulentas no valor de R$ 148.000,00.
Edição de mensagens sem rastro
Manipulando o parâmetro clientmessageid, atacantes conseguem editar mensagens sem exibir o aviso de edição, alterando o conteúdo de forma invisível para a vítima.
Falsificação de notificações (CVE-2024-38197)
A ausência de validação rigorosa do parâmetro imdisplayname permitiu que contas externas exibissem nomes corporativos legítimos nas notificações, induzindo confiança imediata.
Spoofing em chats e chamadas
Também foram identificadas falhas que permitem:
- Alteração do nome de tópicos em conversas privadas
- Falsificação de nomes exibidos em chamadas de voz e vídeo
Esses vetores ampliam significativamente a eficácia dos golpes.
Abuso de ferramentas de suporte remoto
Além das fraudes via Pix, os atacantes utilizam o pretexto de suporte técnico para induzir vítimas a conceder acesso remoto, explorando ferramentas como:
- Supremo Remote Desktop
- Quick Assist (Windows)
Com o acesso, os invasores conseguem roubar tokens de autenticação e executar scripts maliciosos.
Boas práticas de segurança no Microsoft Teams e Microsoft 365
A mitigação exige controles técnicos e validação operacional.
Recomendações para colaboradores
- Verificar sempre o selo “Externo” no Teams
- Validar o domínio de e-mail real do contato
- Nunca realizar transferências financeiras apenas com base em mensagens
- Utilizar duplo fator de validação fora da plataforma
Hardening no Teams Admin Center
Administradores devem restringir comunicações com:
- Contas pessoais não gerenciadas
- Usuários externos sem vínculo organizacional
Essas configurações reduzem drasticamente o risco de spoofing e fraude financeira.
Indicadores de comprometimento (IOCs)
Abaixo estão listados os indicadores de comprometimento identificados em campanhas recentes de fraude financeira e impersonação via Microsoft Teams, apresentados de forma descaracterizada (defanged) para fins de segurança:
# Contas de E-mail de Impersonação
michaelsullivan224[at]outlook[.]com
helpdesk[at]dpf[.]edu[.]lk
networksupport[at]techguard359[.]onmicrosoft[.]com
Itsolution[at]helptech247[.]onmicrosoft[.]com
helpdesk[at]griffinintl[.]net
itdesk[at]itdesk[.]top
it_assistance[at]teams000472[.]onmicrosoft[.]com
h[.]tachouche[at]groupbiocare[.]com
internalit[at]internalsupportteams[.]onmicrosoft[.]com
# Endereços IP de Atacantes
84[.]42[.]94[.]127
84[.]42[.]92[.]225
84[.]42[.]92[.]111
84[.]42[.]92[.]176
# Dados de Transações Fraudulentas
CNPJ Destinatário do Pix: 65[.]322[.]896/0001-70
Razão Social: LOJAS BRAS IMPORTACAO E EXPORTACAO LTDA
Instituição Financeira: BANCO ADOPAY
Considerações finais
A exploração do Microsoft Teams como vetor de fraude via Pix demonstra que defesas focadas apenas em e-mail são insuficientes. A combinação de engenharia social, falhas técnicas e pressão psicológica exige processos rígidos de validação financeira, governança de identidades e políticas de segurança continuamente revisadas.
A pergunta que fica é: sua organização está preparada para avaliar ordens financeiras recebidas por canais de mensagem?
O CDC Security atua no aculturamento de colaboradores para identificação de golpes, fraudes via Pix, engenharia social e tentativas de impersonação no Microsoft Teams, Microsoft 365 e outras ferramentas corporativas
Com treinamentos práticos, simulações de ataques reais e orientação contínua,
ajudamos sua equipe a reconhecer sinais de fraude antes que o prejuízo aconteça — fortalecendo o fator humano como parte ativa da segurança.
Fale com o CDC Security e transforme seus colaboradores na primeira linha de defesa.
Fontes:
Disrupting threats targeting Microsoft Teams | Microsoft Security Blog
Are Former Black Basta Affiliates Automating Executive Targeting?
