Você recebe uma mensagem urgente do CEO da sua empresa no Microsoft Teams pedindo uma transferência bancária imediata. Você confia, afinal, é o sistema corporativo oficial. No entanto, você chega no escritório e descobre que ele nunca precisou dessa transferência – na verdade, foi um golpe.
Esse cenário era possível até recentemente, graças a uma série de vulnerabilidades descobertas no Microsoft Teams que permitiam que invasores se passassem por qualquer pessoa em uma organização.
A descoberta foi feita pela Check Point Research e revelada nesta semana. As falhas afetavam o Teams, que tem mais de 320 milhões de usuários ativos por mês em todo o mundo. A Microsoft já corrigiu todos os problemas após ser notificada pelos pesquisadores, sem que os usuários precisem fazer nada.
Falhas de segurança do Teams
Os pesquisadores descobriram múltiplas vulnerabilidades que permitiam manipular praticamente qualquer aspecto da comunicação no Teams. O problema central estava na forma como o aplicativo processava as informações sobre quem estava enviando as mensagens e fazendo as chamadas.
Em termos técnicos, o Teams trabalha com requisições JSON – pacotes de dados que contêm informações sobre cada ação no aplicativo. Quando você envia uma mensagem, por exemplo, vão junto dados como o conteúdo do texto, um identificador único e, crucialmente, o seu nome de exibição. O grande problema é que alguns desses campos podiam ser alterados pelos usuários sem que o sistema validasse se aquilo era legítimo ou não.
Entre as principais falhas descobertas estavam:
- Edição de mensagens sem rastros: normalmente, quando você edita uma mensagem no Teams, aparece uma etiqueta “Editado” para todo mundo ver. Os pesquisadores descobriram uma forma de editar mensagens antigas sem que essa marcação aparecesse, permitindo literalmente reescrever conversas do passado;
- Falsificação de notificações: o parâmetro “imdisplayname”, que controla o nome que aparece nas notificações, podia ser modificado livremente. Na prática, isso significa que um invasor podia enviar uma mensagem, mas fazer parecer que ela vinha do diretor financeiro, do RH ou de qualquer outra pessoa;
- Manipulação de chats privados: por meio da alteração do tópico da conversa – algo que só deveria funcionar em grupos -, os atacantes conseguiam mudar o nome que aparecia em conversas privadas entre duas pessoas, confundindo ambos os participantes sobre com quem estavam realmente conversando;
- Falsificação em chamadas de vídeo e áudio: essa falha permitia que invasores modificassem o nome que aparecia quando faziam uma ligação pelo Teams. Você via uma chamada recebida do seu chefe, atendia, e era outra pessoa do outro lado da linha.
Como funcionam os golpes
A combinação dessas vulnerabilidades criava cenários de ataque extremamente perigosos, especialmente porque exploravam algo fundamental no ambiente corporativo: a confiança. Quando você vê uma mensagem ou ligação vinda de alguém da sua própria empresa, através do sistema oficial, seu nível de desconfiança é naturalmente mais baixo.
Os pesquisadores identificaram que tanto usuários externos convidados quanto funcionários mal-intencionados poderiam explorar essas falhas. Um invasor que conseguisse se infiltrar como convidado externo (algo comum em empresas que trabalham com parceiros e fornecedores) podia gradualmente assumir a identidade de funcionários importantes.
O cenário mais preocupante envolvia os chamados ataques BEC (Business Email Compromise, ou comprometimento de email corporativo). Nesses casos, criminosos se passam por executivos para solicitar transferências bancárias ou vazamento de informações confidenciais. Com as falhas do Teams, esse tipo de ataque ganhava uma nova dimensão, porque não acontecia por email, meio onde muitas empresas já têm filtros de segurança, mas pela própria ferramenta de comunicação interna.
Imagine esse cenário: um invasor entra como convidado em um projeto, consegue acesso limitado ao Teams da empresa, e começa a mapear quem são os executivos importantes. Depois, usando as técnicas descobertas pela Check Point, ele manda uma mensagem para alguém do financeiro se passando pelo CFO, pedindo uma transferência urgente. A notificação chega no celular da vítima mostrando o nome do CFO. A mensagem vem de dentro do Teams corporativo. Todos os sinais dizem que é legítimo.
Outro cenário envolvia espionagem corporativa ou até estatal. A Check Point menciona que grupos APT (Advanced Persistent Threats, ou ameaças persistentes avançadas) – muitos deles patrocinados por governos – estão cada vez mais interessados em plataformas de colaboração como o Teams. Essas falhas permitiriam que agentes mal-intencionados instalassem malware através de links falsificados, coletassem credenciais de acesso fingindo ser do TI, ou simplesmente espionassem conversas sensíveis modificando históricos de mensagens.
Como se proteger de golpes em plataformas corporativas
Embora a Microsoft já tenha corrigido especificamente essas vulnerabilidades do Teams, o caso levanta questões mais amplas sobre segurança em ferramentas de colaboração. A Check Point é clara ao afirmar que a segurança nativa dessas plataformas é apenas básica, e que as organizações precisam de camadas adicionais de proteção.
Para empresas, algumas medidas são essenciais:
- Implemente Zero Trust: esse modelo de segurança pressupõe que nenhuma comunicação é confiável por padrão, mesmo dentro da rede corporativa. Isso significa verificação contínua de identidade e postura de segurança dos dispositivos, não apenas no momento do login.
- Use prevenção avançada contra ameaças: sistemas que inspecionam arquivos, links e anexos compartilhados dentro de aplicativos de colaboração, mesmo quando vêm de fontes aparentemente confiáveis.
- Ative DLP (Data Loss Prevention): ferramentas de prevenção contra perda de dados ajudam a impedir que informações confidenciais sejam exfiltradas, mesmo que um atacante consiga se infiltrar.
- Estabeleça protocolos de verificação: talvez a medida mais importante e frequentemente negligenciada. Para solicitações sensíveis – especialmente as que envolvem dinheiro ou dados confidenciais -, sempre verifique por um canal diferente.
Para usuários individuais, mesmo em ambientes corporativos, algumas práticas podem fazer toda a diferença.
- Desconfie de urgência: pedidos urgentes, especialmente de executivos que normalmente não falam diretamente com você, devem acender uma luz de alerta. Criminosos usam a pressão de tempo para que você não pare para pensar.
- Verifique fora da banda: se receber uma solicitação importante pelo Teams, ligue para a pessoa usando um número que você já tinha salvo, ou mande um email separado. Nunca use informações de contato fornecidas na própria mensagem suspeita.
- Preste atenção nos detalhes: embora essas falhas específicas permitissem falsificações muito convincentes, muitas vezes há pequenos sinais estranhos – tom de linguagem diferente, erros de português que a pessoa não costuma cometer, solicitações fora do comum.
- Questione o que parece óbvio: a lição mais importante da descoberta da Check Point é que não podemos confiar cegamente nem mesmo em interfaces que parecem 100% legítimas. Pensamento crítico virou uma habilidade de segurança essencial.
Quer ficar por dentro de outras dicas de cibersegurança? Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.
