{"id":23863,"date":"2025-06-06T10:36:33","date_gmt":"2025-06-06T13:36:33","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23863"},"modified":"2025-06-06T10:34:29","modified_gmt":"2025-06-06T13:34:29","slug":"microsoft-365-purchase-email-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/microsoft-365-purchase-email-scam\/23863\/","title":{"rendered":"Golpistas se aproveitam das notifica\u00e7\u00f5es comerciais da Microsoft para realizar ataques"},"content":{"rendered":"

Para que um ataque por e-mail tenha sucesso, a primeira coisa que os criminosos cibern\u00e9ticos precisam fazer \u00e9 garantir que suas mensagens cheguem \u00e0s v\u00edtimas potenciais. Em uma publica\u00e7\u00e3o<\/a> recente, abordamos como os golpistas se aproveitam das notifica\u00e7\u00f5es do GetShared, um servi\u00e7o totalmente leg\u00edtimo de compartilhamento de arquivos pesados. Hoje, examinaremos outro m\u00e9todo de entrega de e-mails maliciosos. Os agentes por tr\u00e1s desse golpe aprenderam a inserir texto personalizado em mensagens leg\u00edtimas de agradecimento enviadas pelo Microsoft 365 para seus novos assinantes empresariais.<\/p>\n

Um e-mail leg\u00edtimo da Microsoft com uma surpresa desagrad\u00e1vel<\/h2>\n

O ataque come\u00e7a com um e-mail leg\u00edtimo da Microsoft agradecendo ao destinat\u00e1rio pela compra de uma assinatura de Aplicativos do Microsoft 365 para Empresas<\/a>. O e-mail realmente \u00e9 enviado pelo endere\u00e7o leg\u00edtimo da gigante de tecnologia de Redmond: microsoft-noreply@microsoft.com. Seria dif\u00edcil imaginar um endere\u00e7o de e-mail com melhor reputa\u00e7\u00e3o que esse. Assim, a mensagem passa com bastante facilidade por qualquer filtro do servidor de e-mail.<\/p>\n

E para n\u00e3o deixarmos nenhuma d\u00favida, mais uma vez dizemos: \u00e9 um e-mail leg\u00edtimo da Microsoft. O conte\u00fado corresponde a uma confirma\u00e7\u00e3o de compra normal. Na captura de tela abaixo, a empresa agradece ao destinat\u00e1rio pela compra de 55 assinaturas de Aplicativos do Microsoft 365 para Empresas no valor total de 587,95 USD.<\/p>\n

\"Golpe<\/a>

Exemplo de uma notifica\u00e7\u00e3o comercial da Microsoft em que os invasores inseriram os dados deles na se\u00e7\u00e3o Informa\u00e7\u00f5es de cobran\u00e7a<\/p><\/div>\n

A ess\u00eancia do golpe est\u00e1 no texto inserido pelos invasores nas se\u00e7\u00e3o de informa\u00e7\u00f5es de cobran\u00e7a. E, em geral, \u00e9 uma se\u00e7\u00e3o que cont\u00e9m o nome e o endere\u00e7o de cobran\u00e7a da empresa da assinatura. No entanto, os golpistas adulteram essas informa\u00e7\u00f5es, inserindo seu pr\u00f3prio n\u00famero de telefone, al\u00e9m de uma mensagem incentivando o destinat\u00e1rio a ligar para a \u201cMicrosoft\u201d se precisar de ajuda. Os tipos de assinaturas \u201cadquiridas\u201d indicam que os golpistas miram em funcion\u00e1rios de empresas.<\/p>\n

Eles se aproveitam de um medo comum dos funcion\u00e1rios: realizar compras caras e desnecess\u00e1rias que podem causar problemas no trabalho. E como n\u00e3o h\u00e1 a op\u00e7\u00e3o de resolver o problema por e-mail (a mensagem vem de um endere\u00e7o que n\u00e3o recebe respostas), a v\u00edtima s\u00f3 pode ligar para o n\u00famero de telefone fornecido.<\/p>\n

Quem atende as chamadas e o que acontece depois?<\/h2>\n

Se a v\u00edtima morder a isca e decidir ligar para questionar sobre as supostas assinaturas adquiridas, os golpistas se utilizam de truques de engenharia social<\/a>.<\/p>\n

Um usu\u00e1rio do Reddit que recebeu um e-mail desses e ligou para o n\u00famero, compartilhou sua experi\u00eancia<\/a>. Segundo ele, quem o atendeu insistiu para que ele instalasse um software de suporte e enviou um arquivo EXE. A conversa subsequente indica que o arquivo possu\u00eda algum tipo de RAT<\/a>.<\/p>\n

A v\u00edtima n\u00e3o suspeitou de nada at\u00e9 que o golpista prometeu realizar o reembolso do valor em sua conta banc\u00e1ria. E esse foi o alerta vermelho, pois n\u00e3o deveriam ter acesso \u00e0s informa\u00e7\u00f5es banc\u00e1rias da v\u00edtima. O golpista pediu que a v\u00edtima fizesse login em seu banco virtual para verificar se a transa\u00e7\u00e3o havia sido conclu\u00edda.<\/p>\n

A v\u00edtima acredita que o software instalado em seu computador era um malware que teria permitido aos invasores interceptar suas credenciais de login. Felizmente, a v\u00edtima percebeu o perigo a tempo e desligou. Ainda no mesmo t\u00f3pico, outros usu\u00e1rios do Reddit relataram e-mails similares<\/a> contendo v\u00e1rias informa\u00e7\u00f5es de contato.<\/p>\n

\u00a0<\/strong>Como os golpistas enviam e-mails de phishing de um endere\u00e7o leg\u00edtimo da Microsoft<\/strong><\/p>\n

Os detalhes de como os invasores conseguem enviar notifica\u00e7\u00f5es da Microsoft para suas v\u00edtimas ainda \u00e9 um mist\u00e9rio. Outro usu\u00e1rio do Reddit forneceu a explica\u00e7\u00e3o<\/a> mais plaus\u00edvel, sugerindo que os golpistas usaram credenciais roubadas ou vers\u00f5es de avalia\u00e7\u00e3o para acessar o Microsoft 365. Ao usar BCC (c\u00f3pia oculta) ou inserir o endere\u00e7o de e-mail da v\u00edtima ao adquirir uma assinatura, os golpistas podem enviar mensagens como as da captura de tela acima.<\/p>\n

Outra teoria sugere que os golpistas obt\u00eam acesso a uma conta com uma assinatura ativa do Microsoft 365, em seguida, usam o recurso de reenvio de informa\u00e7\u00f5es de cobran\u00e7a, indicando o usu\u00e1rio alvo como o destinat\u00e1rio.<\/p>\n

Independente da verdade, o objetivo dos golpistas \u00e9 substituir as informa\u00e7\u00f5es de cobran\u00e7a (a \u00fanica parte da notifica\u00e7\u00e3o da Microsoft que podem alterar), pelo seu pr\u00f3prio n\u00famero de telefone.<\/p>\n

Como se proteger desses ataques<\/h2>\n

Agentes maliciosos continuam encontrando brechas diferentes em servi\u00e7os famosos e totalmente leg\u00edtimos para usar em campanhas de phishing e golpes. Por isso que, para manter uma empresa segura, as prote\u00e7\u00f5es t\u00e9cnicas n\u00e3o s\u00e3o suficientes, os controles administrativos tamb\u00e9m s\u00e3o necess\u00e1rios. Recomendamos algumas solu\u00e7\u00f5es:<\/p>\n