Os pesquisadores da Check Point Software identificaram uma campanha de phishing em que criminosos abusam de funcionalidades do Microsoft Teams para distribuir conteúdo malicioso que aparenta ter origem em serviços legítimos da Microsoft. O ataque explora convites para participantes externos e nomes de equipes com temática de cobrança para se passar por notificações de faturamento e assinatura, induzindo as vítimas a entrarem em contato com um suposto suporte por telefone.
A equipe de segurança de e-mail e colaboração da Check Point Software apontou, em análise, que cibercriminosos estavam explorando convites para participantes externos no Microsoft Teams em larga escala, com o envio de 12.866 mensagens de phishing a 6.135 usuários (uma média de cerca de 990 por dia). Em vez de links, os convites exibem nomes de equipes com temática financeira e induzem os destinatários a ligar para um suposto número de “suporte”, transformando um fluxo legítimo da Microsoft em um golpe de vishing capaz de driblar filtros baseados em links.
A dinâmica do ataque começa com a criação de uma nova equipe no Microsoft Teams, à qual o cibercriminoso atribui um nome falso com tom financeiro, desenhado para parecer um alerta urgente de cobrança ou assinatura. Um exemplo do padrão de nomenclatura identificado inclui mensagens como:
“Subscription Auto-Pay Notice (Invoice ID: 2025_614632PPOT_SAG Amount 629. 98 USD). If you did not authorize or complete this m0nthly Payment,ple𝒂se c0ntact our support team urgently”
Tradução: “Aviso de pagamento automático da assinatura (ID da fatura: 2025_614632PPOT_SAG Valor: 629,98 USD). Se você não autorizou ou concluiu este pagamento mensal, por favor entre em contato com nossa equipe de suporte com urgência”
Para evitar a detecção automática, o atacante utiliza técnicas de ofuscação no próprio nome da equipe, incluindo substituição de caracteres, mistura de caracteres (Unicode) para confundir a leitura e uso de glifos visualmente semelhantes. Isso permite que o texto malicioso passe por controles de segurança, permanecendo legível para o usuário.
Em seguida, o cibercriminoso usa o recurso “Invite a Guest” (“Convidar um Participante”) do Microsoft Teams. O destinatário recebe um convite por e-mail a partir de um endereço legítimo da Microsoft, com o nome da equipe maliciosa em destaque e com destaque em fonte maior. À primeira vista, a mensagem se assemelha a uma notificação real gerada pela Microsoft, o que aumenta a chance de confiança e de ação por parte da vítima.
Diferentemente de campanhas tradicionais, não há direcionamento para links maliciosos ou falsos. Em vez disso, a fraude se apoia em engenharia social por telefone, orientando o usuário a ligar para um número de “suporte” fraudulento para resolver a suposta pendência de cobrança.
Setores mais impactados
A análise por setor indica que a campanha afetou organizações em diversos setores, com maior incidência em:
Manufatura / engenharia / construção: 27,4%
Tecnologia / SaaS / TI: 18,6%
Educação: 14,9%
Serviços profissionais: 11,2%
Governo: 8,1%
Finanças: 7,3%
A distribuição sugere que o impacto está relacionado à ampla adoção do Microsoft Teams nesses setores, e não necessariamente a um direcionamento específico por vertical.
Distribuição regional
A maioria das organizações afetadas está localizada:
Estados Unidos: 67,9%
Europa: 15,8%
Ásia: 6,4%
Também houve impacto adicional em:
Austrália e Nova Zelândia: 3,9%
Canadá: 3,1%
América Latina: 2,4%
Oriente Médio: 0,4%
África: 0,1%
Na América Latina, a atividade se concentrou em:
Brasil: 44%
México: 31%
Argentina: 11%
Colômbia: 8%
Chile: 4%
Peru: 2%
A campanha evidencia como atacantes podem explorar plataformas de colaboração e fluxos confiáveis de convite para entregar conteúdo de phishing sem depender de links maliciosos ou remetentes falsificados. O caso reforça a importância de conscientização dos usuários diante de convites inesperados do Microsoft Teams, especialmente quando o nome da equipe traz linguagem urgente de cobrança, números de telefone ou formatação incomum.
Reconhecida como uma solução líder e com desempenho superior no GigaOm Radar 2025 para Anti-Phishing, o Check Point Harmony Email & Collaboration oferece uma abordagem avançada e em camadas para proteger organizações contra os ataques de phishing, inclusive quando eles “se escondem à vista de todos”.
