A Inteligência de Ameaças da Microsoft emitiu um relatório na última terça-feira (6) avisando sobre a exploração de roteamento de e-mails mal configurada, que pode ser usada para spoofing, distribuindo mensagens que parecem ter sido mandadas por equipes internas aos funcionários, gerando phishing difícil de detectar.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Em e-mails fraudulentos estudados pela empresa, foi notado o uso de plataformas de phishing-as-a-service (PhaaS) como a Tycoon 2FA. As mensagens dos hackers contêm iscas com temas como mensagens de voz, documentos compartilhados, comunicações dos departamentos de recursos humanos, redefinição ou expiração de senhas e mais.
Phishing interno e seus perigos
A tática de phishing em si não é nova, mas, desde maio de 2025, campanhas oportunistas mirando em organizações e verticais industriais diversas cresceram muito, especialmente nos e-mails de spoofing incluindo golpes financeiros. Roubando credenciais através dos ataques, os hackers conseguem coletar dados sensíveis das empresas e comprometer e-mails corporativos (BEC).
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Segundo a Microsoft, o problema surge, principalmente, em cenários onde o locatário digital configurou um cenário de roteamento complexo, mas não implementou proteções contra spoofing de maneira adequada. Um exemplo é o registro de troca de e-mails (MX Record) em ambientes Exchange ou serviços de terceiros antes de chegar ao Microsoft 365.
Com isso, é possível enviar mensagens falsas que parecem ter origem no domínio do locatário. Só em outubro do ano passado, a Microsoft afirma ter bloqueado mais de 13 milhões de e-mails maliciosos gerados pelo kit PhaaS Tycoon 2FA.
Os ataques vistos contêm, principalmente, tentativas de fazer com que funcionários paguem boletos falsos ou assinem documentos DocuSign. O spoofing chega a incluir formulários da receita federal com nome e número de identidade dos indivíduos envolvidos. Os e-mails podem incluir links clicáveis ou códigos QR para “facilitar” o pagamento. É comum que a comunicação interna fraudulenta tenha o mesmo e-mail nos campos “De” e “Para”.
Segundo a Microsoft, para se proteger, as organizações devem ter rejeições de Autenticação, Reporte e Conformidade de Mensagens Baseadas em Domínio (DMARC) bastante estritas, além de medidas de falha de Frameworks de Políticas de Envio (SPF). Serviços de filtragem e arquivamento de spam devem ser bem configurados e usados.
Confira também no Canaltech:
- Brasil é o principal alvo de vírus que vem pré-instalado em TV Box Android
- Suas milhas de viagens aéreas podem estar à venda na dark web sem que você saiba
- WhatsApp corrige, silenciosamente, problema de privacidade antigo
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Leia a matéria no Canaltech.