Campanha de golpes telefônicos se aproveita de plataformas digitais confiáveis
Uma investigação conduzida por especialistas em segurança de e-mail da Check Point Software revelou uma campanha coordenada de phishing em larga escala que está explorando, de forma sistemática, funcionalidades legítimas de serviços em nuvem para aplicar golpes por telefone.
Ao todo, foram identificados cerca de 133.260 e-mails maliciosos totalmente autenticados, enviados a aproximadamente 20.049 organizações em diversos países. O Brasil aparece como o principal alvo: 41% das empresas afetadas estão em território brasileiro, o que evidencia a relevância do país no radar dos cibercriminosos.
Em vez de criar domínios falsos ou comprometer servidores, os atacantes passaram a utilizar diretamente fluxos nativos de plataformas SaaS amplamente conhecidas – como Microsoft, Zoom, Amazon Business, PayPal, YouTube e Malwarebytes. O truque é simples e ao mesmo tempo sofisticado: as mensagens de golpe são inseridas em campos legítimos dessas plataformas, que, por sua vez, geram e enviam e-mails automáticos com toda a “capa” de confiabilidade do serviço original.
Esses e-mails chegam às caixas de entrada como se fossem notificações corriqueiras da própria plataforma, com autenticação SPF, DKIM e DMARC válidas, boa reputação de domínio e formatação idêntica à de comunicações rotineiras. Isso aumenta consideravelmente as chances de entrega e diminui a probabilidade de bloqueio por filtros de segurança.
O objetivo final, porém, não é levar a vítima a clicar em links maliciosos – e sim fazê-la ligar para um número de telefone controlado pelos criminosos. A partir daí, o ataque se converte em engenharia social por voz: o atendimento é feito por golpistas treinados, que se passam por suporte técnico, equipe de cobrança, atendimento financeiro ou representantes de grandes empresas. Dessa forma, os atacantes driblam controles baseados em URL, análise de anexos e mecanismos de reputação de links, deslocando a parte mais crítica do golpe para uma interação humana menos monitorada.
Exploração deliberada de funcionalidades nativas de SaaS
O estudo mostra que, nessa campanha, os criminosos evitaram tanto o spoofing (falsificação de remetente) quanto o comprometimento direto da infraestrutura dos provedores. Em lugar disso, exploraram funcionalidades legítimas das plataformas para inserir conteúdo fraudulento em campos editáveis pelo usuário – como nome de perfil, assunto de convite, mensagens personalizáveis de notificação, descrições e comentários.
Essas informações, ao serem processadas pelos sistemas, passam a compor os e-mails automáticos enviados pela própria plataforma. Como resultado, o conteúdo malicioso fica “embutido” dentro de mensagens originadas de domínios legítimos, com altíssima reputação, e que passam com facilidade por todas as verificações de autenticação.
Essa técnica reduz significativamente a eficácia de soluções de segurança baseadas apenas na análise do remetente, na reputação do domínio ou em padrões tradicionais de phishing. Para o usuário final, a mensagem parece absolutamente confiável: vem de um serviço amplamente utilizado, segue o layout padrão da ferramenta e muitas vezes se mistura a comunicações autênticas já conhecidas pelo destinatário.
Tendência em forte aceleração: phishing apoiado em SaaS
A campanha analisada não é um caso isolado, mas parte de uma tendência em franca expansão: o uso indevido de serviços SaaS como vetor principal de ataques de engenharia social. Os dados observados nos últimos meses apontam para um crescimento acelerado das tentativas de golpe que se aproveitam de fluxos nativos de nuvem para distribuição de iscas.
Essa mudança de estratégia é estrutural, e não um pico momentâneo. Cibercriminosos perceberam que investir na exploração de SaaS proporciona:
– Maior taxa de entrega, graças à reputação elevada dos domínios das grandes plataformas.
– Maior credibilidade das mensagens, que imitam notificações reais conhecidas pelos usuários.
– Menor necessidade de infraestrutura própria (como servidores de envio ou domínios dedicados).
– Menor exposição a listas de bloqueio tradicionais, já que a origem dos e-mails é legítima.
Ao herdar a confiança desses serviços por padrão, os atacantes conseguem construir campanhas altamente escaláveis, com baixo esforço técnico e excelente custo-benefício do ponto de vista criminoso.
A importância da “iscagem por telefone”
Um elemento central dessa nova onda de ataques é o uso intensivo do telefone como canal final. Em vez de direcionar as vítimas a sites maliciosos, os e-mails convidam a pessoa a ligar para um número supostamente associado ao suporte, à equipe de cobrança, ao setor financeiro ou à área de segurança da própria plataforma.
Essa abordagem oferece várias vantagens aos golpistas:
– Desvia o foco das defesas automatizadas: como não há necessidade de URLs suspeitas, muitos mecanismos de segurança simplesmente não têm o que analisar.
– Aumenta a eficácia da persuasão: a interação por voz facilita o uso de técnicas de pressão psicológica, criação de urgência, uso de linguagem técnica e simulação de procedimentos internos.
– Permite personalização em tempo real: o criminoso pode adaptar o discurso conforme as respostas da vítima, elevando as chances de sucesso.
Durante a ligação, é comum que os golpistas solicitem credenciais de acesso, dados de cartão de crédito, códigos de autenticação de múltiplos fatores (MFA), ou orientem a vítima a instalar softwares de acesso remoto, supostamente para “verificar o problema”. Em cenários corporativos, podem ainda tentar obter dados internos, aprovar transações financeiras ou alterar configurações de contas.
Por que os últimos meses chamam atenção
A concentração de atividade nos últimos três meses indica que os grupos criminosos identificaram, de forma clara, o potencial desse modelo de ataque. A exploração de SaaS passou a ser tratada como um mecanismo estruturado de entrega, e não apenas como experimento pontual.
O foco em plataformas corporativas amplamente adotadas – como Microsoft 365, Zoom e Amazon Business – reforça esse cenário. Quanto mais uma ferramenta é usada em processos de negócio do dia a dia, maior a naturalidade com que os funcionários abrem notificações relacionadas a ela, o que reduz a barreira de desconfiança inicial.
Além disso, muitas empresas ainda confiam excessivamente em filtros básicos de spam e em verificações apenas de domínio e autenticação, o que torna o ambiente especialmente vulnerável a mensagens que se originam de provedores reputados e passam por todas as validações técnicas padrão.
Fluxo do ataque: método 1 – abuso da geração e redistribuição legítima de e-mails
No primeiro método identificado, os atacantes exploram justamente a capacidade de várias plataformas SaaS de permitirem que o usuário personalize campos que depois são reproduzidos, sem alterações, em e-mails enviados automaticamente.
1. Manipulação de campos de identidade e metadados
O criminoso cria ou altera uma conta em uma plataforma SaaS legítima, preenchendo campos como nome de exibição, descrição do perfil, assunto de convites ou mensagens personalizáveis com textos que contêm o golpe – muitas vezes incluindo o número de telefone que deve ser contatado e um enredo de urgência (cobrança pendente, bloqueio de conta, fatura em atraso, acesso suspeito, entre outros).
2. Gatilho para envio de notificações
Em seguida, o atacante aciona funcionalidades que fazem com que a plataforma envie e-mails automáticos a outros usuários ou organizações. Isso pode ocorrer por meio de convites para reuniões, compartilhamento de arquivos, envio de propostas comerciais, notificações de acesso ou convites para se juntar a um ambiente de negócios.
3. Herança de reputação e autenticação
Como o envio é feito pela própria infraestrutura do serviço legítimo, as mensagens herdam a reputação do domínio e todas as configurações corretas de segurança de e-mail. Aos olhos dos sistemas de proteção e dos destinatários, trata-se de uma comunicação formal, dentro dos padrões esperados.
4. Entrega da isca
O número de telefone malicioso aparece em destaque no corpo da mensagem, na linha de assunto ou em áreas que normalmente são usadas para comentários ou observações. Em alguns casos, o conteúdo é apresentado como suporte técnico emergencial ou contato de segurança para tratar de uma possível invasão ou problema na conta.
5. Conversão do golpe via chamada telefônica
Quando a vítima liga, é encaminhada para centrais operadas pelos criminosos. Ali, o atendimento segue roteiros bem elaborados para extrair dados sensíveis ou induzir ações que comprometem a conta ou o ambiente corporativo da vítima.
Método 2 – abuso de fluxos de notificação da Microsoft
Outro vetor observado foi o uso intensivo dos fluxos de notificação da Microsoft em diferentes produtos da suíte. Plataformas como Microsoft 365, SharePoint, OneDrive, Teams e serviços associados geram, rotineiramente, e-mails automáticos de alerta, compartilhamento e colaboração.
Os atacantes se aproveitam de recursos que permitem inserir mensagens personalizadas em convites de compartilhamento, descrições de documentos, comentários em arquivos ou notas associadas a solicitações. Esses campos, quando disparados como notificações por e-mail, são enviados a usuários internos ou externos, com todo o peso da marca Microsoft e da infraestrutura de nuvem da empresa.
Como muitas organizações tratam e-mails oriundos de domínios da Microsoft como intrinsecamente confiáveis, há uma tendência de menor escrutínio por parte dos usuários e, em alguns casos, até mesmo de regras de segurança menos restritivas para esse tipo de origem, o que amplifica o efeito da campanha.
Método 3 – exploração de convites do Amazon Business
A campanha também explorou fluxos de convite do Amazon Business. Esse serviço permite que empresas convidem colaboradores e parceiros a ingressar em contas corporativas para realizar compras, gerenciar pedidos ou acessar benefícios específicos.
O criminoso cria uma conta ou utiliza uma conta controlada e envia convites de Amazon Business com textos personalizados em campos como mensagem ao convidado ou observações. Nesses campos, insere instruções para que o destinatário ligue para um “telefone de suporte” a fim de concluir o cadastro, liberar acesso ou resolver supostos problemas na conta ou no pagamento.
Os e-mails, por partirem da infraestrutura da própria Amazon, passam por filtros com alto índice de confiança. O layout e a assinatura visual são idênticos às comunicações legítimas, o que torna ainda mais difícil, para usuários não treinados, perceber qualquer anomalia.
Validação da campanha por teste controlado
Para confirmar a eficácia e o alcance dessa estratégia, os pesquisadores realizaram testes controlados, monitorando como os e-mails gerados pelas plataformas legítimas se comportavam frente a diferentes soluções de segurança.
Os resultados mostraram que a maioria das mensagens maliciosas, por serem autenticadas e originadas de domínios de alta reputação, atingia as caixas de entrada dos usuários sem grandes barreiras. Esse comportamento foi consistente em múltiplos serviços, reforçando o caráter estrutural da vulnerabilidade: o ponto fraco não está em uma plataforma específica, mas no próprio modelo de confiança que se atribui a e-mails vindos de grandes provedores SaaS.
Por que o Brasil é tão visado nessa campanha
O fato de 41% das organizações afetadas estarem no Brasil aponta para uma combinação de fatores:
– Grande adoção de serviços em nuvem por empresas de diferentes portes.
– Alta exposição a golpes digitais, em um cenário em que a transformação digital acelerada nem sempre veio acompanhada de investimentos proporcionais em segurança.
– Nível ainda desigual de conscientização sobre engenharia social por voz (vishing) e golpes baseados em telefone.
Além disso, o país conta com um ambiente empresarial amplo e diversificado, onde erros humanos podem gerar impactos expressivos – especialmente em setores como varejo, serviços financeiros, indústria e logística, que dependem intensamente de plataformas SaaS para o dia a dia operacional.
Como as empresas podem se proteger dessa nova geração de golpes
Para reduzir o risco de ataques que abusam de plataformas SaaS e utilizam telefone como canal de conversão, algumas medidas se tornam essenciais:
1. Reforçar a educação dos colaboradores
– Incluir, em treinamentos de segurança, cenários específicos de golpes onde o e-mail apenas direciona para uma ligação.
– Enfatizar que o fato de a mensagem vir de uma grande plataforma não garante que o conteúdo seja legítimo.
– Ensinar a desconfiar de pedidos urgentes de ligação para números desconhecidos, especialmente quando envolvem dados financeiros, senhas ou códigos de autenticação.
2. Definir canais oficiais de contato
– Estabelecer regras claras sobre como equipes internas e fornecedores devem ser contatados, principalmente para assuntos financeiros ou de acesso a sistemas.
– Orientar funcionários a validar, por canais já conhecidos (como portais oficiais ou números internos), qualquer solicitação recebida por e-mail que envolva uma ligação para números externos.
3. Aprimorar políticas de segurança de e-mail
– Embora os e-mails venham de domínios confiáveis, é possível aplicar camadas adicionais de análise de conteúdo e detecção de padrões suspeitos – por exemplo, mensagens com forte tom de urgência ou instruções repetidas para ligar para determinados números.
– Monitorar e criar alertas para campanhas anômalas envolvendo notificações massivas de determinadas plataformas SaaS.
4. Integrar segurança de e-mail e resposta a incidentes
– Estabelecer processos para que usuários possam reportar rapidamente mensagens suspeitas, mesmo quando pareçam “legítimas”.
– Integrar sistemas de segurança de e-mail com ferramentas de resposta a incidentes, de forma que uma campanha identificada possa ser rapidamente bloqueada em toda a organização.
5. Cobrar fornecedores de SaaS por melhorias de segurança
– Pressionar plataformas a introduzir mecanismos de detecção de abuso em campos personalizáveis usados em e-mails automáticos.
– Incentivar a adoção de filtros internos que identifiquem padrões de uso incompatíveis com o comportamento comum de usuários legítimos.
O papel das plataformas SaaS na mitigação desse risco
Embora a responsabilidade imediata pela proteção dos dados seja, em grande medida, das empresas usuárias, os provedores de SaaS têm papel fundamental na contenção desse tipo de abuso. Algumas iniciativas possíveis incluem:
– Limitar ou revisar o uso de textos livres em campos que são reproduzidos integralmente em e-mails de notificação.
– Implementar verificações de conteúdo para bloquear inserções repetidas de números de telefone suspeitos ou mensagens com características típicas de golpe.
– Oferecer aos administradores corporativos maior visibilidade e controle sobre como notificações são personalizadas e enviadas a destinatários externos.
– Compartilhar alertas e boas práticas com clientes corporativos, destacando modelos de ataque em circulação.
Conclusão
A campanha de golpes telefônicos identificada demonstra como o ecossistema de nuvem e SaaS, apesar de trazer inúmeros benefícios operacionais, também abre novas superfícies de ataque quando a confiança é aplicada de forma automática às comunicações geradas por grandes plataformas.
A combinação de e-mails legitimados por marcas reconhecidas com engenharia social por telefone cria um cenário particularmente perigoso, em que controles técnicos tradicionais perdem eficácia e o elo mais fraco volta a ser o fator humano.
Para enfrentar essa realidade, não basta apenas aprimorar filtros de e-mail: é necessário repensar políticas de confiança, fortalecer programas de conscientização e engajar provedores de SaaS na criação de mecanismos nativos de detecção e prevenção de abuso. Em um contexto em que o Brasil figura entre os principais alvos, a urgência dessa adaptação é ainda maior para organizações que desejam reduzir a exposição a esse novo e sofisticado tipo de golpe.