Campanha global explora plataformas SaaS legítimas para incentivar golpes telefônicos

Os pesquisadores da área de segurança em e-mails da Check Point Software identificaram uma campanha de phishing em larga escala na qual atacantes exploraram plataformas legítimas de software como serviço (SaaS – Software-as-a-Service) para enviar aproximadamente 133.260 e-mails de golpe totalmente autenticados a 20.049 organizações em todo o mundo. A campanha faz parte de uma tendência mais ampla e em rápida aceleração, em que cibercriminosos passam a instrumentalizar marcas confiáveis e fluxos nativos de nuvem para maximizar taxa de entrega, credibilidade e alcance.

Em vez de falsificar remetentes ou domínios, os atacantes inseriram mensagens fraudulentas diretamente em fluxos nativos de plataformas como Microsoft, Zoom, Amazon Business, PayPal, YouTube e Malwarebytes, fazendo com que os e-mails herdassem credibilidade imediata e autenticação completa. As mensagens induziam as vítimas a ligar para números de telefone controlados pelos criminosos, contornando mecanismos de segurança baseados em URLs e filtros tradicionais de e-mail.

A análise dos pesquisadores da Check Point Software documenta ainda que, para essa campanha de phishing, em vez de recorrer a spoofing de domínios ou comprometimento de serviços, os criminosos exploraram deliberadamente funcionalidades nativas das plataformas para gerar e distribuir e-mails muito semelhantes a notificações rotineiras de serviço, conquistando a confiança, a reputação e a postura de autenticação de provedores SaaS amplamente reconhecidos.

Contexto de tendência: aceleração da exploração de SaaS

Essa atividade está alinhada a um aumento expressivo no phishing impulsionado por exploração de SaaS observado nos últimos meses:

• Últimos seis (6) meses: aproximadamente 648.291 e-mails de phishing, impactando cerca de 36.845 empresas
• Últimos três (3) meses: aproximadamente 463.773 e-mails de phishing, impactando cerca de 32.482 empresas

A aceleração observada recentemente reflete uma mudança estratégica dos atacantes, e não um pico temporário. Em vez de depender de domínios falsificados, infraestrutura comprometida ou links maliciosos, os cibercriminosos estão cada vez mais explorando fluxos legítimos de SaaS para herdar confiança por padrão.

Ao incluir conteúdo fraudulento em campos controlados pelo usuário, que posteriormente são incorporados às notificações geradas automaticamente pelos sistemas, os atacantes obtêm e-mails originados de domínios de alta reputação, que passam integralmente por verificações de autenticação e se assemelham fortemente a comunicações legítimas de serviço. Isso reduz de forma significativa tanto a detecção automatizada quanto a desconfiança dos usuários.

A crescente dependência de iscas baseadas em telefone reforça essa mudança. Ao direcionar as vítimas para números controlados pelos atacantes, as campanhas possibilitam que eles contornem a análise de URLs, sandboxing e sistemas de reputação de links, transferindo a etapa final do ataque para engenharia social por voz.

A concentração de atividade nos últimos três meses indica que os atacantes enxergam a exploração de SaaS como um mecanismo de entrega escalável e de baixo atrito, com alto retorno sobre investimento, especialmente ao explorar plataformas corporativas amplamente utilizadas, como Microsoft, Zoom e Amazon.

Método 1: Exploração da geração e redistribuição legítima de e-mails em plataformas SaaS

Fluxo do ataque

No primeiro método, os atacantes exploraram o fato de que muitas plataformas SaaS permitem que usuários controlem campos de identidade, perfil ou metadados que posteriormente são incorporados, sem alterações, em e-mails gerados pelo sistema.

1.Manipulação de campos

O atacante cria ou modifica uma conta em uma plataforma SaaS legítima e insere conteúdo fraudulento em campos controlados pelo usuário, como nome da conta ou atributos de perfil.

2.Geração legítima de e-mail

A plataforma gera um e-mail de notificação totalmente legítimo utilizando o conteúdo fornecido pelo atacante. Esses e-mails se originam da infraestrutura real do serviço, herdando branding autêntico, formatação e reputação do remetente.

As plataformas observadas nesse método incluem Zoom, PayPal, YouTube e Malwarebytes, nas quais campos controlados pelo atacante são incorporados literalmente nas notificações, sem modificação do template principal da mensagem.

3.Redistribuição automatizada

O atacante redistribui esses e-mails legítimos em larga escala por meio de regras automatizadas de e-mail, preservando o conteúdo e os cabeçalhos originais.

Método 2: Exploração dos fluxos de notificação da Microsoft em múltiplos produtos

Nesse método, os atacantes exploram os fluxos nativos de notificação da Microsoft em diferentes produtos, incluindo alertas e notificações de conta e assinatura, mensagens de identidade do Entra ID e e-mails de serviços do Power BI, para distribuir iscas de golpes baseados em chamadas telefônicas.

Inicialmente, os cibercriminosos criam ou passam a controlar um ambiente legítimo da Microsoft e configuram serviços capazes de gerar notificações automáticas. Ao preencher campos sob controle do usuário, como dados de cliente, assinatura ou produto, com conteúdo fraudulento, induzem a Microsoft a enviar e-mails nos quais a mensagem falsa aparece diretamente no assunto ou no corpo da comunicação. Essas notificações são distribuídas pela própria infraestrutura da Microsoft, totalmente autenticadas e indistinguíveis de comunicações rotineiras do serviço.

Os e-mails geralmente fazem referência a atividades de assinatura, alterações de conta ou aquisições de produtos e instruem os destinatários a ligar para números de suporte controlados pelos atacantes. Essa abordagem elimina completamente o uso de links maliciosos e transfere a etapa final do ataque para engenharia social por voz, explorando o alto nível de confiança que os usuários depositam em notificações da Microsoft.

Método 3: Exploração de convites do Amazon Business

Além da exploração de notificações genéricas de SaaS e do ecossistema de notificações da Microsoft, os atacantes também exploraram fluxos específicos de convites corporativos. Em um dos casos, foi usado o recurso legítimo de “convidar usuários” do Amazon Business.

Os atacantes inseriram texto fraudulento, incluindo cobranças falsas e números de telefone de suporte, em campos de convite controlados pelo usuário, como o nome da empresa ou a mensagem personalizada do convite. A Amazon incorporou esse conteúdo diretamente no assunto e no corpo do e-mail de convite e distribuiu as mensagens em larga escala via Amazon SES, resultando em e-mails que passaram integralmente por protocolos de autenticação de e-mail como SPF, DKIM, DMARC e ARC e aparentavam ser notificações autênticas do Amazon Business, sem a necessidade de infraestrutura de e-mail controlada pelos atacantes.

Validação por meio de teste controlado

Para validar o Método 1, foi realizado um teste interno limitado utilizando o Zoom. Uma conta foi criada com texto de golpe inserido em campos de nome controlados pelo usuário, após o que a plataforma gerou e enviou um e-mail legítimo de verificação contendo o conteúdo fornecido pelo atacante. O e-mail se originou da infraestrutura real do Zoom e se assemelhava fortemente a uma notificação operacional padrão.

O único passo restante para operacionalizar o ataque em escala seria a redistribuição em massa, o que não foi realizado durante o teste.

Os pesquisadores destacaram ainda os setores, regiões e países mais impactados pela campanha:

Setores impactados

• Tecnologia / SaaS / TI — 26,8%
• Manufatura / Industrial / Engenharia / Construção — 21,4%
• Corporativo / Comercial (B2B, não específico por vertical) — 18,9%
• Educação (Educação Básica e Superior) — 12,1%
• Finanças / Bancos / Seguros — 7,4%
• Governo / Setor Público — 6,0%
• Saúde / Ciências da Vida — 4,2%
• Serviços Profissionais / Consultoria / Jurídico — 2,6%
• Varejo / Consumo — 1,3%
• Energia / Utilities — 1,0%
• Outros — 0,3%

A exploração relacionada ao Zoom foi observada de forma desproporcional no setor educacional, onde notificações de colaboração são frequentes e altamente confiáveis.

Distribuição geográfica

• Estados Unidos — 66,9%
• Europa — 17,8%
• Ásia-Pacífico — 9,2%
• Canadá — 4,1%
• América Latina — 2,6%
• Oriente Médio e África — 1,4%

Detalhamento da América Latina

• Brasil — 41%
• México — 29%
• Argentina — 12%
• Colômbia — 9%
• Chile — 5%
• Peru — 4%

Principais conclusões analíticas dos pesquisadores

• A exploração de SaaS representa uma evolução estratégica nas táticas de phishing, priorizando a herança de confiança de plataformas legítimas em vez da implantação de infraestrutura própria, reduzindo significativamente atrito técnico e risco de detecção.
• A entrega de golpes baseados em telefone é um mecanismo deliberado de evasão de controles, permitindo contornar tecnologias centradas em links e transferir a exploração final para engenharia social por voz.
• Fluxos nativos de notificação de plataformas corporativas amplamente utilizadas amplificam a eficácia das campanhas, pois comunicações frequentes e esperadas normalizam o conteúdo fraudulento e reduzem o ceticismo do usuário.
• A forte concentração de atividade nos últimos meses indica confiança dos atacantes na escalabilidade e no retorno sobre investimento, especialmente ao explorar plataformas com alcance global, alta reputação de remetente e autenticação integrada.
• Ambientes educacionais e corporativos enfrentam risco elevado devido ao alto volume de notificações e à saturação de confiança, especialmente em serviços de colaboração em que mensagens administrativas urgentes são comuns.
• A suposição defensiva de que e-mails autenticados e bem identificados com marcas legítimas são inerentemente de baixo risco é cada vez menos confiável, exigindo estratégias de detecção que considerem a exploração contextual de serviços legítimos, e não apenas indicadores tradicionais.

Esta campanha demonstra como atacantes estão, cada vez mais, instrumentalizando plataformas SaaS confiáveis e fluxos nativos de notificação para entregar golpes telefônicos em escala. Com o avanço dos serviços em nuvem na comunicação empresarial, profissionais de cibersegurança devem considerar que e-mails aparentemente autênticos, ainda que provenientes de marcas confiáveis, não são necessariamente seguros e podem explorar serviços legítimos fora de seu contexto original.