Phishing com falsos convites para calls: novo truque para tomar PCs corporativos
Convites falsos para reuniões em plataformas como Zoom, Microsoft Teams e Google Meet vêm sendo explorados por cibercriminosos para assumir o controle de computadores de empresas. O ataque se apoia em um dos hábitos mais comuns do trabalho moderno: entrar em videoconferências o tempo todo, muitas vezes com pouco tempo para checar detalhes.
Como o golpe começa: o convite para a reunião
O ponto de partida é simples e convincente. A vítima recebe um e-mail ou mensagem com um convite para uma reunião virtual, com todos os elementos típicos:
– Assunto com tom de urgência: “Reunião emergencial com a diretoria”, “Atualização de projeto”, “Call obrigatória com RH”
– Nome de uma plataforma conhecida (Zoom, Teams, Meet)
– Dados aparentemente confiáveis: horário, lista de participantes, nome do organizador, pauta
Ao clicar no link, o usuário é levado a uma página que imita com grande fidelidade a interface da plataforma legítima: logotipo, cores, layout, botões de “Entrar na reunião” e até uma suposta lista de pessoas que “já estão na call”, o que reforça a sensação de que está atrasado ou de que precisa ingressar rapidamente.
A falsa atualização: onde o ataque realmente acontece
O golpe se concretiza quando, ao tentar ingressar na reunião, surge uma mensagem informando que é necessário instalar uma atualização ou um complemento para participar da call. O alerta é apresentado como algo rotineiro:
– “Atualize seu cliente de videoconferência para continuar”
– “Instale o plugin necessário para ingressar na reunião”
– “Nova versão obrigatória para garantir segurança da call”
O usuário, acostumado a ver avisos desse tipo, tende a clicar em “Baixar” ou “Atualizar” sem questionar. Só que, em vez de um update legítimo, o que é instalado é um software de acesso remoto (RMM – Remote Monitoring and Management).
Ferramentas reais de RMM, usadas por times de TI, são exploradas nesse contexto, como:
– Datto RMM
– LogMeIn
– ScreenConnect
Esses programas, quando usados corretamente, servem para suporte remoto e administração de sistemas. No golpe, porém, são instalados sem o conhecimento da empresa, entregando ao invasor o mesmo nível de acesso que um técnico de TI teria.
Por que o antivírus não bloqueia?
O aspecto mais perigoso do ataque é que as ferramentas usadas não são malwares “clássicos”, mas softwares legítimos, assinados digitalmente e amplamente utilizados no mercado corporativo. Como consequência:
– Não são detectados como arquivos suspeitos pela maioria dos antivírus tradicionais
– Não geram, em muitos casos, alertas imediatos em soluções de segurança baseadas apenas em assinaturas
– Podem parecer completamente normais para quem analisa rapidamente a lista de programas instalados
Ou seja, o criminoso se esconde atrás de soluções corporativas autênticas, o que torna a detecção mais difícil e o golpe muito mais convincente.
O poder total sobre o computador da vítima
Uma vez instalada a ferramenta de acesso remoto, o atacante ganha privilégios administrativos no computador comprometido. Com esse nível de acesso, ele pode:
– Ver a tela em tempo real, como se estivesse sentado diante do PC
– Controlar mouse e teclado à distância
– Copiar, mover e apagar arquivos
– Instalar outros programas maliciosos
– Roubar credenciais salvas em navegadores ou gerenciadores de senhas
– Acessar unidades mapeadas, pastas de rede e sistemas internos
Na prática, o computador passa a funcionar como uma porta de entrada para toda a infraestrutura corporativa. A partir de um único dispositivo infectado, o invasor pode se movimentar lateralmente, alcançar servidores, bancos de dados e serviços críticos.
Risco de roubo de dados e ransomware
Com o ambiente sob controle, os cibercriminosos podem seguir diferentes objetivos:
– Roubo de documentos sensíveis, contratos, dados financeiros
– Coleta de informações pessoais de funcionários e clientes
– Extração de credenciais de acesso a sistemas internos e serviços em nuvem
– Instalação de ransomware para criptografar dados e exigir pagamento de resgate
– Uso da máquina comprometida como ponto de apoio para novos ataques dentro da rede
Em ambientes corporativos, um único clique em um falso convite pode resultar em incidentes de grandes proporções, com impacto financeiro, operacional e reputacional.
Engenharia social: explorando o que é “normal” no trabalho
O elemento central desse golpe é a engenharia social. Em vez de depender apenas de falhas técnicas, os criminosos exploram comportamentos previsíveis dos usuários. No contexto de videoconferências:
– Reuniões marcadas de última hora são comuns
– Muitos profissionais entram em calls com pressa, sem analisar detalhes
– Mensagens de “necessidade de atualização” já são esperadas em diversas ferramentas
– A confiança em plataformas conhecidas (Zoom, Teams, Meet) reduz a desconfiança
O usuário, ao seguir o mesmo fluxo de ações que já realizou muitas vezes – clicar no link, entrar na reunião, aceitar uma atualização – acaba sendo enganado exatamente por não perceber nada de “anormal” no processo.
Sinais de alerta para identificar convites falsos
Apesar da sofisticação visual do golpe, alguns indícios podem ajudar a identificar que algo está errado. Entre os cuidados importantes:
– Verificar o remetente do e-mail: o endereço é realmente da empresa ou da organização que supostamente marcou a call?
– Conferir o domínio do link: o endereço começa com o domínio oficial da plataforma (como zoom.us, microsoft.com, google.com) ou tem variações estranhas, letras trocadas ou termos adicionais?
– Desconfiar de atualizações inesperadas: reuniões em plataformas web geralmente não exigem instalação de programas extras apenas para entrar
– Confirmar por outro canal: em caso de dúvida, validar com o organizador por mensagem interna, telefone ou chat corporativo antes de instalar qualquer coisa
– Observar erros de gramática ou de tradução na página da “plataforma” ou nas instruções de atualização
Treinar o olhar para esses detalhes é um passo importante para reduzir o sucesso desse tipo de ataque.
Boas práticas para empresas: como se proteger
A proteção efetiva depende de combinação de tecnologia, processos e conscientização. Algumas medidas recomendadas:
1. Treinamento contínuo de usuários
– Promover campanhas educativas sobre phishing e engenharia social
– Simular ataques de phishing para avaliar o nível de atenção das equipes
– Instruir claramente: “nunca instale atualizações de videoconferência a partir de links de e-mail”
2. Políticas claras de instalação de software
– Definir que apenas o time de TI pode instalar ou atualizar certos tipos de ferramentas
– Bloquear a instalação de programas por usuários comuns, quando possível
– Utilizar listas de aplicativos permitidos (allowlist) e proibidos (blocklist)
3. Monitoramento de ferramentas de acesso remoto
– Manter inventário atualizado de todos os RMMs autorizados na organização
– Monitorar a instalação de novos softwares desse tipo
– Configurar alertas para uso de ferramentas de acesso remoto fora dos padrões esperados
4. Soluções de segurança avançadas
– Adotar ferramentas de proteção em endpoints capazes de analisar comportamento, não apenas assinatura de arquivos
– Implementar soluções de segurança em nuvem que inspecionem tráfego e identifiquem páginas falsas que imitam serviços legítimos
– Utilizar autenticação multifator (MFA) sempre que possível para dificultar o uso indevido de credenciais
Orientações para usuários: o que fazer na dúvida
Para o profissional que recebe um convite e teme cair em um golpe, algumas atitudes simples podem fazer toda a diferença:
– Evitar clicar diretamente em links de e-mail quando o assunto parecer suspeito
– Acessar a plataforma de videoconferência digitando o endereço diretamente no navegador e, em seguida, inserir o ID da reunião manualmente, se tiver sido fornecido
– Recusar qualquer instalação de software que não tenha sido previamente autorizada pela área de TI
– Reportar imediatamente ao time responsável qualquer convite estranho, mesmo que não tenha sido clicado
– Nunca fornecer usuário e senha em páginas que surgem após um clique em link de e-mail, sem verificar cuidadosamente o endereço do site
Por que esse tipo de golpe tende a crescer
O modelo de trabalho híbrido e remoto consolidou o uso intenso de videoconferências e ferramentas em nuvem. Isso criou um cenário ideal para esse tipo de ameaça:
– Aumento da quantidade de convites para calls no dia a dia
– Menos interação presencial, o que dificulta validações informais (“você marcou mesmo essa reunião?”)
– Pressa e excesso de tarefas, reduzindo o tempo para checagens de segurança
– Maior dependência de ferramentas que, se exploradas, dão acesso amplo aos ambientes corporativos
Enquanto as empresas não incorporarem práticas robustas de segurança digital a essa rotina, convites falsos tendem a permanecer como um vetor de ataque altamente atrativo para criminosos.
Conclusão: um clique em uma “call” pode custar caro
Convites falsos para reuniões no Zoom, Microsoft Teams e Google Meet se transformaram em uma porta de entrada eficaz para invasores que desejam assumir o controle de computadores corporativos. Ao explorar o hábito comum de aceitar atualizações e ingressar rapidamente em calls, os criminosos instalam ferramentas legítimas de acesso remoto sem levantar suspeitas imediatas.
A combinação de engenharia social, uso de softwares reais e ambiente corporativo sobrecarregado cria o cenário perfeito para ataques que podem resultar em perda de dados, interrupção de operações e até incidentes de ransomware de grande impacto. A melhor defesa passa por conscientização, políticas claras de uso de software, monitoramento cuidadoso de ferramentas de acesso remoto e adoção de soluções de segurança que vão além do antivírus tradicional.