Golpe do falso CEO: criminosos usam Microsoft Teams para enganar funcionários

Golpe do falso CEO: criminosos usam Microsoft Teams para enganar funcionários

Fonte: Bandeira



O golpe do falso CEO (CEO Fraud) passou a explorar o Microsoft Teams para enganar funcionários e induzi-los a compartilhar informações sensíveis ou realizar transferências financeiras.

Segundo um levantamento da Tempest Security Intelligence, criminosos migraram a fraude para a plataforma por ela transmitir maior sensação de legitimidade.

Ao TechTudo, a Microsoft afirmou que os ataques não decorrem de uma vulnerabilidade do Teams, mas do uso de engenharia social e phishing.

Veja, a seguir, como o golpe funciona, quais são os riscos e como se proteger.

🔎 Golpe iMile: criminosos usam nome de empresa roubar dinheiro; entenda

🔎 Como deixar o status do Teams sempre online? Veja três truques

Golpe do falso CEO: criminosos usam Microsoft Teams para enganar funcionários

Reprodução/Unsplash

📝 É possível usar a conta do MS Teams de uma organização para contatar pessoas de outra instituição? Comente no Fórum do TechTudo

O que é o golpe do falso CEO

O golpe do falso CEO, também conhecido como CEO Fraud ou Business Email Compromise (BEC), é um tipo de fraude baseado em engenharia social no qual criminosos se passam por executivos de uma empresa para convencer funcionários a realizar ações em benefício dos golpistas.

As abordagens costumam envolver pedidos urgentes de transferências bancárias, compartilhamento de informações confidenciais ou envio de credenciais de acesso, explorando a autoridade atribuída aos cargos de alta liderança para reduzir a desconfiança das vítimas.

O golpe do falso CEO é configurado como uma prática de engenharia social e não de hacking

Reprodução/Freepik

Tradicionalmente, esse tipo de golpe era aplicado por e-mail.

No entanto, segundo um levantamento da Tempest Security Intelligence — empresa referência em cibersegurança —, os criminosos passaram a utilizar também o Microsoft Teams para abordar colaboradores de forma direta.

De acordo com a empresa de cibersegurança, a migração para plataformas de colaboração corporativa torna a fraude mais convincente, já que muitos profissionais tendem a enxergar esses ambientes como mais seguros e confiáveis do que o e-mail, aumentando as chances de sucesso do ataque.

Beta Reader Go é golpe? Tudo sobre site que paga você para ler

Como o Microsoft Teams passou a ser usado pelos criminosos

Segundo a Tempest Security Intelligence, o Microsoft Teams passou a integrar a estratégia de grupos especializados no golpe do falso CEO por ser uma plataforma amplamente utilizada na comunicação corporativa.

Diferentemente do e-mail, onde muitos profissionais já estão habituados a identificar mensagens suspeitas, aplicativos de colaboração costumam transmitir uma maior sensação de legitimidade por fazerem parte da rotina de trabalho.

De acordo com o especialista em cibersegurança Carlos Cabral, da Tempest, essa percepção reduz a desconfiança dos usuários e aumenta as chances de sucesso da fraude, especialmente em ambientes onde solicitações são feitas em tempo real e exigem respostas rápidas.

O Microsoft Teams tem se tornado uma plataforma utilizada por golpistas online na prática de engenharia social

Surface/Unplash

Ainda de acordo com a Tempest, o ataque começa antes mesmo do primeiro contato com a vítima.

Os criminosos realizam um trabalho de reconhecimento da empresa por meio de informações disponíveis publicamente em redes sociais, sites institucionais, comunicados à imprensa e plataformas profissionais, como o LinkedIn.

Com esses dados, eles conseguem mapear a estrutura organizacional, identificar executivos, conhecer projetos em andamento e selecionar funcionários estratégicos, principalmente aqueles ligados ao setor financeiro.

Esse levantamento permite que as mensagens contenham referências reais ao cotidiano da empresa, tornando a abordagem mais convincente e aumentando a credibilidade do golpe.

Como funciona o golpe na prática

Segundo a Tempest Security Intelligence, o golpe do falso CEO começa muito antes do primeiro contato com a vítima.

Os criminosos realizam um trabalho de reconhecimento para reunir informações sobre a empresa e seus colaboradores por meio de fontes públicas, como redes sociais, sites institucionais, comunicados à imprensa e perfis profissionais.

Com esses dados, eles identificam executivos, compreendem a estrutura organizacional e escolhem, principalmente, funcionários das áreas financeira e administrativa, que costumam ter acesso a sistemas de pagamento e podem autorizar movimentações em nome da empresa.

A partir dessas informações, os golpistas elaboram mensagens personalizadas, citando projetos reais, gestores e situações do cotidiano paraaumentar a credibilidade da fraude.

Plataformas como o Linkedin facilitam a coleta de informações corporativas por parte de golpistas

Reprodução/Primakov/Shutterstock

As investigações da plataforma Resonant, da Tempest, identificaram dois principais cenários para a aplicação do golpe no Microsoft Teams.

No primeiro, os criminosos exploram o recurso de acesso externo da plataforma para criar uma conta em um domínio fraudulento com o mesmo nome de exibição de um executivo da empresa e entrar em contato diretamente com funcionários.

No segundo, considerado mais difícil de identificar, o atacante compromete uma conta de serviço da própria organização — normalmente protegida por controles de segurança menos rigorosos — e altera seu nome e foto para se passar pelo executivo.

Em ambos os casos, a conversa costuma começar com perguntas aparentemente comuns antes de evoluir para solicitações urgentes, como o envio de capturas de tela com informações financeiras ou a realização de transferências.

De acordo com a Tempest, a combinação entre a suposta autoridade do remetente e o senso de urgência leva muitas vítimas a ignorarem procedimentos internos de validação e executarem as ações solicitadas.

Quais sinais ajudam a identificar a fraude

Embora o golpe do falso CEO explore a credibilidade do Microsoft Teams, alguns sinais podem ajudar a identificar tentativas de fraude.

Segundo a Tempest Security Intelligence, um dos principais indícios é verificar se o contato foi iniciado por um usuário externo.

Por padrão, o Teams exibe a etiqueta "Externo" em conversas com pessoas de outras organizações, informação que pode passar despercebida pelos colaboradores durante a rotina de trabalho.

De acordo com o especialista Carlos Cabral, reconhecer esse indicador e entender seu significado é uma das formas de reduzir o risco de cair no golpe.

Práticas comuns de proteção contra phishing podem auxiliar a evitar o golpe do falso CEO

Reprodução/Unsplash/SweetLife

Além disso, pedidos incomuns, urgentes ou apresentados como sigilosos devem despertar atenção, principalmente quando envolvem compartilhamento de informações financeiras, credenciais ou solicitações de pagamento.

Conforme o levantamento da Tempest, os criminosos costumam criar um senso de urgência e usar a suposta autoridade de um executivo para pressionar a vítima a agir sem seguir os procedimentos internos da empresa.

Nesses casos, a recomendação é validar a solicitação por outro canal de comunicação, como uma ligação telefônica ou conversa presencial, antes de compartilhar dados ou autorizar qualquer transação.

Como empresas podem se proteger

Como o golpe do falso CEO explora técnicas de engenharia social e configurações permissivas, a Tempest Security Intelligence recomenda que as empresas reforcem tanto os controles técnicos quanto a conscientização dos colaboradores.

Entre as principais medidas estão restringir a federação e a comunicação com domínios externos não homologados no Microsoft Teams, substituindo configurações abertas por políticas mais restritivas ou, quando possível, desabilitando o acesso externo.

A empresa também orienta que as organizações reforcem a identificação da etiqueta "Externo" nas conversas e promovam treinamentos para que funcionários reconheçam esse indicador antes de atender solicitações envolvendo informações confidenciais ou pagamentos.

Treinamentos voltados para cibersegurança promovidos pelas empresas podem auxiliar na proteção contra o golpe

Divulgação/Kaspersky Lab

Outra recomendação da Tempest é manter um inventário atualizado das contas de serviço, eliminando contas obsoletas, revisando permissões e definindo responsáveis por sua administração.

Segundo o especialista Carlos Cabral, essas contas devem utilizar autenticação multifator (MFA), além de ter o acesso restrito a IPs e dispositivos autorizados, reduzindo as chances de comprometimento.

Em posicionamento enviado ao TechTudo, a Microsoft reforçou que os cenários descritos não resultam de uma vulnerabilidade do Teams e destacou que a plataforma oferece controles robustos de segurança e administração para gerenciar políticas de acesso externo e fortalecer a proteção de identidades, recursos que podem ajudar as empresas a reduzir a superfície de ataque quando corretamente configurados.

O que fazer ao receber uma mensagem suspeita

Ao receber uma solicitação inesperada pelo Microsoft Teams — principalmente se envolver informações confidenciais, credenciais ou pedidos de pagamento — o primeiro passo é confirmar a identidade do remetente antes de tomar qualquer ação.

Segundo recomendações da Tempest Security Intelligence, é importante desconfiar de mensagens que transmitam urgência incomum ou peçam que procedimentos internos sejam ignorados.

Nesses casos, a validação deve ser feita por um canal diferente, como uma ligação telefônica, uma videochamada ou uma conversa presencial com o suposto solicitante.

Ficar atento às principais práticas de phishing podem ajudar o usuário a se proteger

Reprodução/Freepik/rawpixel

Se houver indícios de fraude, o colaborador deve interromper a comunicação e acionar imediatamente a equipe de Tecnologia da Informação (TI) ou de Segurança da Informação da empresa para que a tentativa de golpe seja investigada e medidas de contenção sejam adotadas.

Caso informações sensíveis já tenham sido compartilhadas ou um pagamento tenha sido realizado, a orientação é comunicar o incidente o mais rápido possível, permitindo que a organização bloqueie acessos comprometidos, tente interromper a transação financeira e inicie os procedimentos de resposta ao incidente.

Quanto mais rápida for a notificação, maiores são as chances de reduzir os prejuízos e evitar novos comprometimentos.