Phishing

Pesquisadores da LayerX identificaram 30 extensões maliciosas para o Google Chrome que se disfarçam como assistentes de inteligência artificial (IA) com o objetivo de roubar informações sensíveis dos usuários, especialmente via Gmail. Mais de 300 mil pessoas já instalaram pelo menos uma dessas extensões, que ainda estão disponíveis na Chrome Web Store, apesar de suas atividades maliciosas. As extensões, como AI Sidebar e ChatGPT Translate, conectam-se a uma infraestrutura de domínio único, permitindo que os hackers coletem credenciais, conteúdos de e-mails e dados de navegação. Ao serem instaladas, essas ferramentas não oferecem a funcionalidade prometida, mas injetam scripts maliciosos que extraem informações em segundo plano, incluindo senhas e textos de conversas. A integração com o Gmail permite que os atacantes leiam e-mails e rascunhos, aproveitando-se da interação entre assistentes de IA e a plataforma. Essa situação representa um risco significativo para a segurança dos dados dos usuários, especialmente em um cenário onde a privacidade e a proteção de informações pessoais são cruciais.

O Google identificou que um grupo hacker da Coreia do Norte, denominado UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para realizar ciberataques, especialmente focados em campanhas de phishing relacionadas a ofertas de emprego falsas. A equipe de inteligência de ameaças do Google relatou que os hackers estão empregando a IA para traçar perfis de potenciais vítimas, coletando dados sensíveis através da técnica de OSINT (Open Source Intelligence). O grupo tem como alvo principal empresas de cibersegurança, onde mapeiam funções técnicas e informações salariais para criar campanhas de phishing personalizadas. Embora os detalhes dos ataques não tenham sido amplamente divulgados, a utilização de ferramentas de IA por hackers levanta preocupações sobre a segurança cibernética em escala global. O Google alerta que, embora os usuários das ferramentas de IA não sejam diretamente impactados, a forma como essas tecnologias podem ser exploradas para fins maliciosos é alarmante. O UNC2970 tem se mostrado cada vez mais ativo, enganando sistemas e se passando por recrutadores em busca de profissionais para vagas que não existem.

A Microsoft relatou um incidente em seu serviço Exchange Online, onde e-mails legítimos foram incorretamente colocados em quarentena devido a falhas nas regras de detecção heurística, que visavam bloquear campanhas de phishing. O problema, que começou em 5 de fevereiro e foi resolvido em 12 de fevereiro, afetou milhares de usuários, impedindo a abertura de links em mensagens e resultando em alertas de URLs potencialmente maliciosos que se mostraram falsos positivos. A causa raiz foi identificada como um erro lógico no sistema de detecção, que, após uma atualização, começou a sinalizar URLs legítimos em uma taxa muito maior do que o esperado. Além disso, outros sistemas de segurança da Microsoft amplificaram o impacto do incidente, e um bug separado atrasou a reversão das regras de detecção falhas. A empresa ainda não divulgou o número total de usuários afetados, mas classificou o evento como um “incidente”, indicando um impacto significativo. Um relatório final será publicado em até cinco dias úteis após a resolução completa do problema.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova tática de phishing que utiliza cartas físicas para enganar proprietários de carteiras de criptomoedas. Em vez de e-mails maliciosos, os hackers estão enviando correspondências que parecem vir de equipes de segurança de marcas de carteiras de hardware, como Trezor e Ledger. Essas cartas contêm QR codes que direcionam os usuários a sites fraudulentos que imitam páginas oficiais. Os destinatários são instruídos a escanear os códigos para realizar uma ‘verificação de autenticação’ sob a ameaça de perder acesso às suas carteiras. Uma vez que os usuários inserem suas frases de recuperação, os atacantes podem acessar e transferir os fundos sem mais interações. Embora a seleção dos alvos ainda não esteja clara, dados de violações anteriores podem ter exposto informações de contato, incluindo endereços físicos. Os fabricantes de carteiras alertam que essas frases devem ser inseridas apenas em dispositivos físicos e nunca em sites. A mudança para o uso de correspondência física representa uma adaptação dos atacantes a um cenário digital saturado, mas a técnica de phishing permanece a mesma.

O aumento das compras online trouxe também um crescimento significativo nos golpes virtuais, com 45,1% das denúncias de fraudes relacionadas a compras digitais, segundo o Mapa de Fraudes em Compras Digitais no Brasil. Os tipos mais comuns de fraudes incluem lojas online falsas, clonadas e vendedores de itens usados. Os golpistas frequentemente utilizam e-mails, WhatsApp e SMS para enganar os consumidores, criando mensagens que imitam comunicações legítimas. Esses golpes costumam apelar para gatilhos emocionais, como urgência e exclusividade, para induzir as vítimas a clicarem em links maliciosos. Para se proteger, especialistas recomendam verificar a reputação do site, analisar a origem dos contatos, desconfiar de ofertas tentadoras, denunciar anúncios falsos, evitar cadastrar cartões em sites, conferir o destinatário de transações via Pix e utilizar autenticação de dois fatores. Essas medidas são essenciais para garantir a segurança nas compras online e evitar prejuízos financeiros e o roubo de dados pessoais.

O artigo aborda a apresentação da missão do Consórcio KTU, ‘Uma Sociedade Digital Segura e Inclusiva’, durante o evento ‘Innovation Breakfast’ da Agência de Inovação da Lituânia. Com a rápida evolução tecnológica, a Lituânia enfrenta desafios significativos em cibersegurança, que se tornaram não apenas técnicos, mas também sociais. A iniciativa nacional, coordenada pela Agência de Inovação, busca fortalecer a segurança digital do país, envolvendo universidades e empresas para transformar conhecimento científico em inovações de alto valor. A missão, que conta com um investimento superior a €24,1 milhões, foca na resiliência cibernética e na proteção de dados pessoais, especialmente para usuários de serviços eletrônicos. A pesquisa abrange desde sistemas de defesa baseados em IA para o setor financeiro até plataformas inteligentes para análise de ameaças cibernéticas. Um ponto crítico destacado é a evolução das fraudes digitais, impulsionadas pela Inteligência Artificial Generativa, que permite a criação de mensagens fraudulentas altamente personalizadas e realistas, dificultando a detecção por filtros automáticos. A crescente acessibilidade dessas ferramentas para criminosos representa um risco significativo para a segurança digital, exigindo uma resposta coordenada entre ciência, negócios e políticas públicas.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

Recentemente, criminosos têm enviado cartas físicas que se passam por comunicações oficiais das empresas Trezor e Ledger, fabricantes de carteiras de hardware para criptomoedas. Essas cartas fraudulentas alertam os usuários sobre a necessidade de completar um ‘Check de Autenticação’ ou ‘Check de Transação’ para evitar a perda de acesso às funcionalidades de suas carteiras. Ao criar um senso de urgência, os golpistas pressionam as vítimas a escanear QR codes que direcionam para sites maliciosos. As cartas, impressas em papel timbrado, têm como alvo usuários que podem ter tido suas informações expostas em vazamentos de dados anteriores. Os sites de phishing imitam páginas legítimas e solicitam que os usuários insiram suas frases de recuperação, permitindo que os atacantes acessem e roubem os fundos das carteiras. É importante ressaltar que tanto a Trezor quanto a Ledger nunca solicitarão que os usuários compartilhem suas frases de recuperação. Este tipo de golpe, embora raro, representa uma ameaça significativa, especialmente considerando o aumento do uso de criptomoedas no Brasil.

Uma nova campanha de phishing está em circulação no Brasil, utilizando a identidade visual de empresas conhecidas, como a Shopee e a Latam, para enganar usuários e roubar seus dados pessoais, especialmente o CPF. Segundo a ESET, os golpistas criam anúncios falsos em redes sociais e aplicativos de mensagens, oferecendo cartões de crédito com limites altos e isenção de anuidade, atraindo vítimas desavisadas. Ao clicar nos links, os usuários são direcionados para sites fraudulentos que imitam os processos legítimos das empresas.

Com a aproximação do Dia dos Namorados nos Estados Unidos e na Europa, cibercriminosos estão intensificando suas atividades fraudulentas, aproveitando-se do clima romântico para enganar pessoas em busca de relacionamentos. Uma análise da NordVPN revelou que os golpistas estão utilizando redes sociais e aplicativos de namoro, como Tinder e Match, para criar perfis falsos com fotos roubadas ou geradas por inteligência artificial. Após estabelecer contato, os criminosos tentam construir uma relação de confiança, levando as vítimas a migrar a conversa para aplicativos de mensagens privadas. A partir daí, eles criam cenários fictícios que justificam pedidos de dinheiro, como emergências financeiras ou viagens. Além disso, há casos de sextorsão, onde ameaças são feitas para extorquir as vítimas. Embora o Dia dos Namorados no Brasil ocorra apenas em junho, é crucial que os usuários estejam atentos a essas táticas para evitar cair em golpes amorosos. Especialistas recomendam verificar perfis, desconfiar de mensagens urgentes e evitar clicar em links suspeitos.

O Carnaval é uma época de festa, mas também de riscos, especialmente em relação a golpes e fraudes. Golpistas aproveitam a distração dos foliões para aplicar fraudes que vão desde o roubo de cartões e celulares até pacotes de viagem falsos. Para se proteger, é essencial agir rapidamente em caso de roubo, bloqueando contas e cartões, além de trocar senhas de serviços sensíveis. Se você adquirir um pacote de viagem fraudulento, interrompa qualquer interação com o site suspeito e comunique o banco para tentar reverter a transação. É importante preservar evidências como e-mails e comprovantes de pagamento. Para evitar cair em golpes, recomenda-se o uso de dispositivos como smartrings e smartwatches, que permitem pagamentos sem a necessidade de levar cartões ou celulares. Além disso, é fundamental estar atento a QR Codes falsos e a maquininhas de cartão adulteradas. O artigo também destaca a importância de verificar as regras de cancelamento de passagens aéreas, uma vez que multas abusivas podem ser contestadas com base no Código de Defesa do Consumidor. A prevenção é a melhor estratégia para garantir uma experiência segura durante o Carnaval.

Um add-in do Microsoft Outlook, conhecido como AgreeTo, foi sequestrado por hackers para criar um kit de phishing que visa roubar contas de usuários. O AgreeTo, que era um agendador de reuniões desenvolvido por um pesquisador independente e disponível na loja de add-ins do Microsoft Office desde dezembro de 2022, foi abandonado e sua URL foi capturada por um ator malicioso. Quando os usuários abrem o add-in, são direcionados a uma página de login falsa do Microsoft, onde suas credenciais podem ser comprometidas. Pesquisadores da Koi descobriram que mais de 4.000 contas da Microsoft foram roubadas, além de dados de cartões de crédito e respostas de segurança bancária, o que pode facilitar transferências fraudulentas. A Microsoft já removeu o add-in de sua loja e recomenda que os usuários redefinam suas senhas e monitorem suas atividades financeiras. Este incidente marca a primeira vez que um malware foi encontrado no Marketplace oficial da Microsoft, destacando a necessidade de vigilância constante em relação a add-ins e extensões de software.

Pesquisadores de cibersegurança identificaram o primeiro add-in malicioso do Microsoft Outlook em operação, denominado AgreeToSteal. O ataque, classificado como um ataque à cadeia de suprimentos, ocorreu quando um invasor reivindicou um domínio associado a um add-in legítimo abandonado, criando uma página de login falsa da Microsoft e roubando mais de 4.000 credenciais. O add-in AgreeTo, que permitia a integração de calendários, foi abandonado em 2022, e o invasor aproveitou a falta de monitoramento contínuo do conteúdo do add-in para implantar um kit de phishing. A vulnerabilidade reside na forma como os add-ins do Office funcionam, onde o conteúdo é carregado em tempo real a partir de um URL que pode ser alterado após a aprovação inicial. A Koi Security, responsável pela descoberta, alerta que a falta de reavaliação e monitoramento contínuo de add-ins pode permitir que ataques semelhantes ocorram em outros marketplaces. A empresa recomenda que a Microsoft implemente revisões periódicas e verifique a propriedade dos domínios associados aos add-ins para mitigar esses riscos.

A Polícia da Holanda prendeu um homem de 21 anos em Dordrecht, suspeito de vender acesso à ferramenta de automação de phishing JokerOTP, que intercepta senhas temporárias (OTP) para roubo de contas. Esta prisão é a terceira em uma investigação de três anos que resultou na desarticulação da operação JokerOTP em abril de 2025. O serviço malicioso causou perdas financeiras de pelo menos 10 milhões de dólares em mais de 28 mil ataques em 13 países. O suspeito anunciava o acesso à plataforma por meio de chaves de licença em uma conta do Telegram. Os cibercriminosos que se inscreviam no serviço podiam automatizar chamadas para as vítimas, solicitando OTPs e outros dados sensíveis, como PINs e informações de cartões. O bot JokerOTP visava usuários de serviços populares como PayPal e Amazon. A polícia continua a investigação e já identificou dezenas de compradores da ferramenta na Holanda, que serão processados. Especialistas alertam que as vítimas não devem se sentir envergonhadas por caírem em fraudes sofisticadas e devem estar atentas a sinais de golpe, como pedidos urgentes de informações sensíveis. Além disso, recomenda-se que os usuários verifiquem possíveis vazamentos de dados que possam afetá-los.

O add-in AgreeTo, originalmente uma ferramenta legítima de agendamento de reuniões para usuários do Outlook, foi sequestrado e transformado em um kit de phishing que roubou mais de 4.000 credenciais de contas da Microsoft. Desenvolvido por um editor independente e disponível na Microsoft Office Add-in Store desde dezembro de 2022, o add-in foi abandonado pelo desenvolvedor, permitindo que um ator de ameaças reivindicasse sua URL e implantasse uma página falsa de login da Microsoft. Essa página enganosa coletava credenciais e redirecionava os usuários para a página legítima da Microsoft, reduzindo a suspeita. Pesquisadores da Koi Security descobriram que, além das credenciais, também foram coletados números de cartões de crédito e respostas de segurança bancária. O add-in manteve permissões que permitiam ler e modificar e-mails dos usuários, embora não tenha sido confirmada atividade maliciosa nesse sentido. A Microsoft removeu o add-in da loja após a descoberta, mas o incidente destaca a falta de um processo de verificação contínua para add-ins já aprovados. Este caso é notável por ser o primeiro malware encontrado no Marketplace oficial da Microsoft, levantando preocupações sobre a segurança de add-ins em plataformas amplamente utilizadas.

Uma nova campanha de phishing está enganando brasileiros ao usar CPFs vazados para roubar dinheiro via Pix. Os cibercriminosos enviam mensagens SMS que aparentam ser do Tribunal de Justiça, alertando sobre irregularidades no CPF do destinatário. O tom de urgência é utilizado para induzir a vítima a clicar em um link que leva a uma página falsa, imitando o site oficial do Judiciário. Ao acessar essa página, a vítima é solicitada a inserir seu CPF, o que permite aos criminosos coletar informações sensíveis. O golpe inclui um falso número de processo judicial e um temporizador de 10 minutos para pressionar a vítima a realizar um pagamento de mais de R$ 800 via Pix. Para dificultar o rastreamento, os criminosos dividem os pagamentos entre diferentes localidades. Apesar das tentativas de ocultação, a operação foi exposta quando logs do servidor foram deixados acessíveis publicamente, permitindo que especialistas identificassem as fraudes em tempo real.

Especialistas de segurança cibernética na Alemanha emitiram um alerta sobre uma nova onda de ataques digitais direcionados a líderes políticos, militares, diplomatas e jornalistas europeus, utilizando o aplicativo de mensagens Signal. Os hackers estão empregando uma técnica de engenharia social conhecida como ‘golpe do falso suporte’, onde se passam pela equipe de suporte do Signal para enganar suas vítimas.

Os criminosos enviam mensagens automatizadas que alertam sobre supostas violações de segurança, levando os alvos a fornecer informações sensíveis, como PINs de segurança. Além disso, eles solicitam que as vítimas escaneiem um QR Code que, na verdade, vincula o dispositivo da vítima ao servidor do hacker, permitindo o acesso ao histórico de conversas e mensagens em tempo real.

Daren Li, um cidadão com dupla nacionalidade da China e de São Cristóvão e Nevis, foi condenado a 20 anos de prisão em ausência por seu envolvimento em um esquema internacional de investimento em criptomoedas, conhecido como ‘pig butchering’, que enganou vítimas em mais de $73 milhões. Esses golpes envolvem a construção de confiança com as vítimas por meio de aplicativos de mensagens e redes sociais, antes de apresentar esquemas de investimento fraudulentos. Em vez de investir os fundos, os golpistas esvaziam as carteiras de criptomoedas das vítimas. Li se declarou culpado em novembro de 2024 e foi preso em abril de 2024, mas fugiu antes da sentença. Ele e seus cúmplices operavam a partir de centros no Camboja, utilizando uma rede de lavadores de dinheiro para movimentar os fundos roubados. O Departamento de Justiça dos EUA destacou a gravidade das ações de Li, que causaram perdas devastadoras a vítimas em todo o país. Além de Li, quatro outros suspeitos foram acusados em um esquema semelhante que resultou em perdas superiores a $80 milhões. O relatório de crimes cibernéticos de 2024 do FBI revelou que os golpistas de investimento roubaram mais de $6,5 bilhões de quase 48 mil vítimas, um aumento significativo em relação ao ano anterior.

O Escritório Federal para a Proteção da Constituição da Alemanha (BfV) e o Escritório Federal de Segurança da Informação (BSI) emitiram um alerta conjunto sobre uma campanha de ciberataques, provavelmente patrocinada por um Estado, que utiliza o aplicativo de mensagens Signal para realizar ataques de phishing. O foco principal são alvos de alto escalão na política, nas forças armadas e na diplomacia, além de jornalistas investigativos na Alemanha e na Europa. A campanha se destaca por não utilizar malware ou explorar vulnerabilidades do Signal, mas sim por manipular suas funcionalidades legítimas para obter acesso clandestino às conversas e listas de contatos das vítimas. Os atacantes se passam por suporte do Signal, solicitando que as vítimas forneçam um PIN ou código de verificação recebido via SMS. Se a vítima ceder, os atacantes podem registrar a conta e acessar informações confidenciais. Além disso, a campanha pode se estender ao WhatsApp, que possui características semelhantes. As autoridades alertam que o acesso não autorizado a contas de mensageiros pode comprometer não apenas comunicações individuais, mas também redes inteiras. Os usuários são aconselhados a não interagir com contas de suporte e a habilitar o bloqueio de registro para proteger suas contas.

A agência de inteligência doméstica da Alemanha emitiu um alerta sobre ataques de phishing direcionados a indivíduos de alto escalão, como políticos e jornalistas, utilizando aplicativos de mensagens como o Signal. Esses ataques, supostamente patrocinados por estados, combinam engenharia social com recursos legítimos para roubar dados. O Federal Office for the Protection of the Constitution (BfV) e o Federal Office for Information Security (BSI) informaram que os atacantes se passam por equipes de suporte do aplicativo, criando um senso de urgência para que as vítimas compartilhem informações sensíveis, como códigos de verificação. Existem duas variantes dos ataques: uma que realiza a tomada total da conta e outra que emparelha a conta com um dispositivo do atacante, permitindo monitorar conversas sem levantar suspeitas. Embora o Signal tenha mecanismos de segurança, como a opção de ‘Registro de Bloqueio’, muitos usuários não revisam regularmente os dispositivos vinculados à sua conta, o que aumenta o risco. O alerta também menciona que o WhatsApp pode ser vulnerável a ataques semelhantes, destacando a necessidade de vigilância constante por parte dos usuários.

Um novo tipo de ataque de spear-phishing está utilizando arquivos de proteção de tela do Windows (.scr) para contornar sistemas de segurança e infectar instituições. De acordo com uma pesquisa da ReliaQuest, os cibercriminosos estão enganando usuários ao enviar arquivos maliciosos disfarçados de documentos corporativos, como recibos ou resumos de projetos. Quando a vítima baixa e executa o arquivo .scr, que é um executável, as ferramentas de segurança geralmente não detectam a ameaça, pois essa extensão é menos monitorada em comparação com arquivos mais comuns, como .exe.

Uma nova onda de e-mails de spam está afetando usuários globalmente, com hackers explorando sistemas de suporte da Zendesk para enviar mensagens fraudulentas que parecem legítimas. Esses e-mails, que solicitam a ativação de contas ou outras ações, têm gerado confusão, pois muitos destinatários não possuem contas nas empresas mencionadas. Pesquisadores de segurança, como Jonathan Leitschuh, alertaram que o volume de mensagens pode estar causando uma sobrecarga no sistema de suporte da Zendesk, semelhante a um ataque DDoS. Em janeiro, um incidente anterior permitiu que hackers enviassem tickets de suporte em nome de terceiros, levando a tentativas de phishing. Embora a Zendesk tenha corrigido algumas vulnerabilidades, a nova onda de ataques sugere que os criminosos encontraram novas brechas. Empresas como Dropbox e 2K já foram afetadas, e os usuários foram aconselhados a ignorar esses e-mails. A Zendesk ainda não se manifestou oficialmente sobre o recente incidente, mas a situação destaca a importância de medidas de segurança robustas para prevenir abusos em plataformas de suporte.

Kyle Svara, um homem de 26 anos de Illinois, se declarou culpado por invadir quase 600 contas do Snapchat de mulheres para roubar fotos nuas, que ele mantinha, vendia ou trocava online. Entre maio de 2020 e fevereiro de 2021, Svara utilizou táticas de engenharia social para obter códigos de acesso de centenas de vítimas, acessando pelo menos 59 contas sem permissão. Ele enviou mensagens a mais de 4.500 alvos, se passando por representantes do Snapchat, e conseguiu coletar credenciais de aproximadamente 570 vítimas. Svara também ofereceu seus “serviços” em várias plataformas online, negociando conteúdo roubado e hackeando contas a pedido de um ex-treinador da universidade, que foi condenado por sextortion. Agora, ele enfrenta várias acusações, incluindo roubo de identidade agravado e fraude eletrônica, com penas que podem somar até 20 anos de prisão. O caso destaca a crescente preocupação com a segurança digital e a privacidade, especialmente em plataformas populares entre jovens. O julgamento de Svara está agendado para 18 de maio de 2024.

Uma pesquisa da Serasa Experian revelou que, em 2025, 77% dos anúncios, perfis, páginas e aplicativos falsos na internet tiveram origem em redes sociais. O estudo identificou 37.845 ameaças, com a maioria delas focada em anúncios golpistas (56%) e perfis falsos (32%). Esses perfis frequentemente servem como vitrines para direcionar usuários a páginas fraudulentas. Apesar de 98% das tentativas de ataque terem sido removidas rapidamente, com um tempo médio de quatro dias entre a detecção e o bloqueio, a quantidade de ameaças mensais variou entre 3.000 e 4.000. Para se proteger, os usuários devem desconfiar de anúncios com urgência excessiva e preços muito baixos, além de verificar a autenticidade dos perfis e URLs antes de interagir. O aumento de fraudes digitais nas redes sociais destaca a necessidade de vigilância constante e educação digital para evitar prejuízos financeiros.

Pesquisadores da ANY.RUN identificaram um aumento significativo em campanhas de phishing que utilizam plataformas de nuvem legítimas, como Google, Microsoft e Cloudflare, visando o ambiente corporativo. Essas campanhas se aproveitam de vulnerabilidades de segurança para distribuir kits de phishing, contornando sistemas de segurança corporativos e comprometendo contas de funcionários para fraudes financeiras e disseminação de malware. A nova abordagem dos criminosos envolve o uso de URLs de provedores reais e uma entrega padrão em HTML, dificultando a detecção por ferramentas de segurança, que consideram as ações como legítimas. Além disso, os ataques frequentemente utilizam páginas de login falsas, especialmente direcionadas a usuários do Microsoft 365, para coletar dados sensíveis. O problema se agrava, pois a malícia só se revela quando os softwares comprometidos são executados, levando a infecções que podem passar despercebidas até que seja tarde demais. Essa evolução nas táticas de phishing representa um desafio crescente para a segurança cibernética das empresas, exigindo atenção redobrada dos profissionais da área.

Uma nova onda de spam está afetando usuários em todo o mundo, com muitos relatando o recebimento de e-mails automatizados gerados por sistemas de suporte Zendesk não seguros. Desde ontem, diversos usuários nas redes sociais têm relatado o recebimento de centenas de mensagens com linhas de assunto alarmantes, como ‘Ative sua conta’. Esses e-mails, que parecem ser respostas automáticas legítimas de portais de suporte ao cliente, estão sendo enviados a pessoas que nunca se inscreveram ou abriram tickets. O pesquisador de segurança Jonathan Leitschuh destacou que seu e-mail foi inundado por essas mensagens, sugerindo que atacantes estão explorando formulários de submissão de tickets do Zendesk para disparar e-mails de confirmação em massa. Este problema não é novo; em janeiro, uma onda de spam semelhante foi registrada, levando a Zendesk a implementar novas medidas de segurança. Apesar disso, a atividade recente indica que os atacantes ainda conseguem abusar dos portais de tickets expostos, o que levanta preocupações sobre a eficácia das medidas de proteção implementadas pela empresa. A situação exige atenção, especialmente para organizações que utilizam o Zendesk como parte de suas operações de suporte ao cliente.

Um estudo da KnowBe4 revelou que 38% das informações expostas em violações de segurança são resultado do roubo de senhas, destacando a vulnerabilidade desse método de autenticação. Apesar da implementação de medidas como a autenticação multifator (MFA), os cibercriminosos continuam a encontrar formas de contornar essas proteções. O ambiente corporativo é especialmente suscetível, com 98,4% das mensagens de phishing focadas em temas como remuneração e políticas internas, o que aumenta a confiança dos usuários nas armadilhas. Além disso, os hackers utilizam diversas táticas para obter senhas, incluindo engenharia social, adivinhação e exploração de falhas técnicas. Para mitigar esses riscos, especialistas recomendam o uso de senhas longas e complexas, a adoção de gerenciadores de senhas e a não reutilização de credenciais em diferentes contas. O artigo alerta que a segurança das senhas deve ser uma prioridade tanto para usuários individuais quanto para empresas, dada a crescente sofisticação das ameaças digitais.

Uma nova campanha de phishing está direcionada a usuários do Dropbox, especialmente em ambientes corporativos, com o objetivo de roubar credenciais de login. Pesquisadores da Forcepoint identificaram que os ataques se disfarçam como e-mails legítimos, contendo PDFs que parecem inofensivos. Ao clicar em links dentro desses documentos, as vítimas são redirecionadas para uma página falsa de login do Dropbox, onde suas informações são coletadas. Os criminosos utilizam endereços de e-mail que aparentam ser profissionais, dificultando a detecção pelos filtros de segurança. Após o fornecimento dos dados, um script é acionado, capturando e enviando informações sensíveis, como e-mail, senha e endereço IP, para um canal privado no Telegram controlado pelos hackers. O golpe é sofisticado, pois apresenta uma mensagem de erro ao usuário, fazendo-o acreditar que digitou a senha incorretamente. A situação é alarmante, pois a conta do Dropbox comprometida pode levar a vazamentos de dados sensíveis, exigindo atenção redobrada de empresas e usuários em geral.

A modelo Bruna Cristine de Menezes de Castro, conhecida como Barbie do Crime, foi presa em Goiânia por sua ligação com uma série de golpes virtuais. A detenção ocorreu no dia 30 de janeiro de 2026, realizada pelo Batalhão 31º BPM, e está relacionada a condenações anteriores de 2015, onde ela aplicou fraudes na venda de produtos como celulares e cosméticos que nunca foram entregues às vítimas. As perdas financeiras das vítimas somaram R$ 3,8 mil, com uma delas perdendo R$ 3,1 mil e outra R$ 700. Bruna já havia sido condenada a prestar serviços comunitários e pagar uma multa, mas descumpriu as condições de sua pena, levando à sua prisão atual. Além disso, a modelo possui um histórico criminal que inclui estelionato e uso de documentos falsos, com processos em andamento em diferentes estados do Brasil. Sua prisão mais recente ocorreu em um local onde estava acompanhada de outros foragidos, indicando um padrão de comportamento criminoso persistente.

Uma nova campanha de phishing está atingindo o Brasil, com foco no Microsoft Teams. De acordo com uma pesquisa da Check Point Software, o país lidera a América Latina em casos de convites falsos enviados pela plataforma, com mais de 6 mil usuários afetados. Os criminosos enviam mensagens que parecem legítimas, alertando sobre faturamentos e assinaturas, e induzem as vítimas a contatar um suposto serviço de suporte. A técnica utilizada envolve a substituição de caracteres para disfarçar o endereço de origem, que parece ser da Microsoft, aumentando a confiança das vítimas. Além disso, a campanha utiliza engenharia social e vishing, onde os criminosos tentam desestabilizar as vítimas por meio de ligações. Os setores mais impactados incluem manufatura, engenharia e construção, seguidos por tecnologia, educação e serviços financeiros. A pesquisa destaca que o Brasil representa 44% dos casos na América Latina, o que evidencia a necessidade de atenção redobrada por parte das empresas e profissionais de segurança da informação.

Os Programas de Investimento de Alto Rendimento (HYIPs) fraudulentos estão crescendo globalmente, oferecendo lucros ‘garantidos’ que nenhum investimento legítimo pode sustentar. Esses golpes atraem vítimas com promessas de retornos rápidos e elevados, como ‘40% de retorno em 72 horas’. No entanto, a maioria dos HYIPs opera como esquemas de Ponzi, onde os primeiros investidores recebem pagamentos iniciais para criar a ilusão de lucro, enquanto os depósitos subsequentes resultam em saques atrasados ou retidos. Em um estudo recente, foram identificados mais de 4.200 sites promovendo esses esquemas fraudulentos, com 485 incidentes registrados apenas em dezembro de 2025, evidenciando a escalabilidade e a persistência dessas fraudes. Os operadores de HYIPs utilizam redes sociais e anúncios pagos para disseminar seus golpes, além de oferecer programas de referência que incentivam as vítimas a recrutar novos investidores. O ciclo típico de um HYIP envolve a criação de plataformas falsas, promoção em redes sociais, construção de confiança com resultados fabricados e, por fim, o bloqueio de saques e o desaparecimento dos operadores. A análise destaca a necessidade de vigilância e educação sobre esses riscos, especialmente em um cenário onde a regulamentação e a proteção ao consumidor são cruciais.

Nos últimos meses, uma campanha de phishing em larga escala tem atacado usuários de serviços de armazenamento em nuvem em todo o mundo, enviando e-mails fraudulentos que alertam sobre supostos problemas de pagamento que podem resultar no bloqueio ou exclusão de fotos e arquivos. Os e-mails, que se apresentam como notificações legítimas, criam um senso de urgência ao afirmar que a renovação da assinatura falhou ou que o método de pagamento expirou. Os remetentes utilizam uma variedade de domínios, muitos dos quais parecem ser gerados aleatoriamente, e os assuntos dos e-mails são projetados para incitar medo, como “Ação Imediata Necessária” e “Sua Conta Foi Bloqueada”. Ao clicar nos links contidos nos e-mails, os usuários são direcionados a páginas de phishing que imitam portais de serviços de nuvem, onde são induzidos a fornecer informações pessoais e financeiras. É crucial que os usuários reconheçam que esses e-mails não são comunicações legítimas e que devem ser excluídos sem clicar em nenhum link. Para verificar questões relacionadas a armazenamento em nuvem, recomenda-se acessar diretamente o site oficial do serviço em questão.

A Mandiant alertou sobre uma onda crescente de ataques de roubo de dados SaaS, orquestrados pelo grupo ShinyHunters, que estão sendo impulsionados por ataques de phishing por voz (vishing). Os criminosos se passam por funcionários de TI e helpdesk, contatando diretamente os colaboradores para alegar que as configurações de autenticação multifator (MFA) precisam ser atualizadas. Durante a ligação, as vítimas são direcionadas a sites de phishing que imitam os portais de login de suas empresas, onde suas credenciais de SSO e códigos MFA são capturados. Os atacantes, enquanto ainda estão em contato com a vítima, conseguem autenticar-se em tempo real, ativando dispositivos próprios para manter o acesso. Uma vez dentro, eles podem acessar uma variedade de aplicativos SaaS, como Salesforce, Microsoft 365 e Google Drive, utilizando um único conjunto de credenciais comprometidas. A Mandiant identificou diferentes grupos de ameaças, como UNC6661 e UNC6671, que utilizam técnicas semelhantes, mas com variações nas táticas de extorsão. A empresa recomenda que as organizações adotem medidas de proteção e monitoramento para detectar comportamentos suspeitos relacionados a esses ataques.

A Mandiant, empresa de cibersegurança pertencente ao Google, identificou um aumento nas atividades de grupos de hackers, como o ShinyHunters, que utilizam táticas de engenharia social para realizar ataques de extorsão. Esses ataques envolvem phishing por voz (vishing) e sites falsos de coleta de credenciais, visando obter acesso não autorizado a ambientes de empresas, especialmente em aplicações de software como serviço (SaaS). O objetivo final é roubar dados sensíveis e extorquir as vítimas. Os grupos estão sendo monitorados sob diferentes clusters, como UNC6661 e UNC6671, que têm se mostrado adaptáveis em suas táticas. A Mandiant recomenda que as empresas adotem medidas de segurança, como a implementação de autenticação multifatorial resistente a phishing e melhorias nos processos de suporte técnico. A situação destaca a eficácia da engenharia social e a necessidade de as organizações se protegerem contra essas ameaças emergentes.

Recentemente, usuários relataram receber e-mails fraudulentos que aparentam ser legítimos, enviados de um endereço oficial da Microsoft, especificamente no-reply-powerbi@microsoft.com. Este e-mail está associado ao Power BI, uma ferramenta de análise de dados da Microsoft, que recomenda que seu endereço seja adicionado a listas de permissão para evitar que mensagens sejam bloqueadas por filtros de spam. O golpe em questão envolve uma suposta compra de um plano da Norton LifeLock, onde os golpistas fornecem um número de telefone para cancelamento. Ao ligar, a vítima é induzida a instalar um aplicativo de acesso remoto, permitindo que os criminosos controlem seu computador. A empresa de segurança Proofpoint analisou o incidente e confirmou que os golpistas exploram uma funcionalidade do Power BI que permite a inclusão de e-mails externos em relatórios, facilitando a disseminação de mensagens fraudulentas. A Microsoft está ciente do problema e investiga a situação, embora ainda não tenha emitido um comunicado oficial sobre o caso.

A Microsoft anunciou a implementação de uma nova funcionalidade no Teams, chamada “Reportar uma Chamada”, que permitirá aos usuários sinalizar chamadas suspeitas ou indesejadas como potenciais fraudes ou tentativas de phishing. Este recurso será ativado por padrão e estará disponível para chamadas individuais no Windows, Mac e na versão web do Teams. Ao clicar em “Mais opções” ao lado de uma chamada, os usuários poderão selecionar “Reportar uma Chamada” para enviar um relatório. A Microsoft destacou que, atualmente, os usuários não têm uma maneira simples de relatar chamadas suspeitas, o que deixa as organizações sem visibilidade sobre essas ameaças. Quando uma chamada é sinalizada, metadados limitados, como horários, duração e informações de identificação do chamador, serão compartilhados com a organização e com a Microsoft. A funcionalidade começará a ser disponibilizada para clientes de Lançamento Direcionado em meados de março, com conclusão prevista para o final de março, e estará disponível globalmente até o final de abril. Além disso, a Microsoft já havia introduzido outras funcionalidades de segurança no Teams, como a possibilidade de relatar alertas de ameaças falsos positivos e bloquear usuários externos, visando aumentar a proteção contra ataques de engenharia social.

Na última quinta-feira (22), o Departamento Estadual de Investigações Criminais (Deic) de São Paulo desmantelou uma central de cobranças fraudulentas localizada na Avenida Brigadeiro Faria Lima, um dos principais centros financeiros da capital paulista. A operação resultou na prisão de quatro mulheres, que ocupavam cargos de gerência e supervisão, além de outros dez suspeitos que foram levados para depor. A investigação revelou que o grupo utilizava dados de vítimas, especialmente idosos e pessoas vulneráveis, para realizar cobranças de créditos inexistentes, ameaçando-as com bloqueios de CPF e benefícios. Os criminosos operavam de forma híbrida, realizando tanto cobranças legítimas quanto fraudulentas. Documentos e dispositivos eletrônicos foram apreendidos durante a operação, que também se estendeu a um segundo local em Carapicuíba, na Grande São Paulo. Essa ação faz parte da Operação Título Sombrio, focada em investigações sobre lavagem e ocultação de ativos ilícitos por meios eletrônicos.

Pesquisadores da CheckPoint alertam sobre uma nova técnica de hackers que utilizam o Microsoft Teams para roubar credenciais de e-mail. A estratégia envolve a criação de equipes com nomes relacionados a finanças ou cobranças urgentes, utilizando caracteres ofuscados para evitar a detecção automática. Após a criação da equipe, os atacantes enviam convites que parecem legítimos, levando os usuários a acreditar que precisam resolver problemas de cobrança. Durante chamadas para um número de suporte fraudulento, os hackers tentam extrair informações sensíveis, como senhas. Essa abordagem de engenharia social é mais eficaz do que métodos tradicionais de phishing, pois combina mensagens oficiais da Microsoft com uma linguagem que gera urgência e confiança. O ataque tem afetado organizações em diversos setores, com a maioria dos incidentes ocorrendo nos Estados Unidos, seguido pela Europa e América Latina, onde Brasil e México concentram a maior parte das ocorrências. A conscientização dos usuários e o treinamento para identificar sinais de alerta são essenciais para mitigar esses riscos.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

O gerenciador de senhas 1Password implementou uma nova funcionalidade que avisa os usuários sobre URLs suspeitas de phishing por meio de pop-ups. Essa atualização visa aumentar a segurança dos usuários, ajudando-os a identificar páginas maliciosas e evitando que suas credenciais sejam comprometidas. O serviço, amplamente utilizado, já possui suporte nativo para gerenciamento de passkeys no Windows. Apesar de oferecer essa proteção, a 1Password não preenche automaticamente os dados de login em URLs não cadastradas no cofre, o que significa que os usuários ainda precisam estar atentos a possíveis ataques de typosquatting, onde URLs enganosas podem levar a sites fraudulentos. Uma pesquisa realizada nos EUA revelou que 61% dos usuários já caíram em golpes de phishing, e 75% não verificam a URL antes de clicar em links, o que é especialmente preocupante em ambientes corporativos. A nova funcionalidade será disponibilizada automaticamente para planos individuais e familiares, enquanto administradores de planos empresariais precisarão ativá-la. A 1Password também destacou a crescente utilização de ferramentas de IA em golpes, tornando as páginas falsas mais convincentes do que nunca.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.

A gangue de ransomware ShinyHunters reivindicou a responsabilidade por uma série de ataques de vishing que exploram contas de login único (SSO) em serviços como Google, Microsoft e Okta. Os cibercriminosos utilizam técnicas de engenharia social, se passando por suporte de TI para enganar funcionários e obter credenciais e códigos de autenticação de dois fatores. Uma vez dentro das contas, eles aproveitam o acesso SSO para invadir sistemas corporativos, comprometendo dados sensíveis. Os ataques são facilitados por kits de phishing que imitam sites legítimos em tempo real, adaptando-se às respostas das vítimas durante as chamadas. Embora a Google e a Microsoft tenham negado que seus produtos tenham sido afetados, os hackers afirmam ter utilizado dados de invasões anteriores para contatar funcionários. O uso de SSO, que conecta diversos aplicativos em um único login, aumenta o risco de compromissos em larga escala, especialmente em empresas que utilizam plataformas como Salesforce, Slack e Google Workspace. Este incidente destaca a necessidade urgente de fortalecer a segurança em torno de autenticações e credenciais corporativas.

Pesquisadores da Okta alertam sobre a crescente sofisticação dos kits de vishing, uma variante de phishing que utiliza chamadas de voz para enganar as vítimas. Esses kits são capazes de criar sites falsos personalizados que imitam serviços populares, como Google e Microsoft, e coletar credenciais de login e códigos de autenticação em tempo real. O processo começa com o perfilamento da vítima, seguido pela construção de um site de phishing que é apresentado durante uma ligação feita por um número falsificado ou roubado. Os golpistas orientam a vítima a inserir suas informações, que são imediatamente utilizadas para tentar acessar as contas reais. A capacidade de atualizar o site em tempo real para capturar códigos de autenticação de dois fatores torna esse ataque particularmente perigoso. Para se proteger, a Okta recomenda o uso de autenticação avançada e chaves de acesso, além de medidas anti-phishing. Essa evolução no vishing representa um risco significativo para usuários e empresas, especialmente em um cenário onde a segurança digital é cada vez mais crítica.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, alertam que hackers estão utilizando Inteligência Artificial Generativa (GenAI) para desenvolver ataques de phishing mais sofisticados e personalizados. A técnica envolve a criação de páginas de phishing dinâmicas que se adaptam ao usuário, utilizando APIs de Modelos de Linguagem de Grande Escala (LLMs) para gerar códigos JavaScript únicos em tempo real. Isso dificulta a detecção por métodos tradicionais, pois o código malicioso não é entregue de forma estática, mas sim gerado na hora, tornando a análise prévia quase impossível. Embora ainda seja uma prova de conceito, a pesquisa indica que os fundamentos para esses ataques já estão sendo explorados, com um aumento no uso de malware e ransomware assistidos por LLMs. Os especialistas recomendam que as empresas restrinjam o uso de serviços LLM não autorizados e implementem medidas de segurança mais robustas para prevenir esses novos tipos de ataques.

O gerenciador de senhas 1Password implementou uma nova funcionalidade para proteger seus usuários contra URLs de phishing, alertando-os sobre possíveis páginas maliciosas. Essa ferramenta, amplamente utilizada em ambientes corporativos, não preenche automaticamente os dados de login em sites cujos URLs não correspondem aos armazenados no cofre do usuário. Apesar dessa proteção, a empresa reconhece que muitos usuários podem não perceber erros sutis, como domínios com grafias incorretas, e ainda assim inserir suas credenciais. Para mitigar esse risco, o 1Password agora exibe um pop-up que alerta os usuários sobre possíveis tentativas de phishing, incentivando-os a verificar cuidadosamente o URL antes de prosseguir. Essa funcionalidade será ativada automaticamente para usuários individuais e de planos familiares, enquanto administradores poderão habilitá-la manualmente para funcionários de empresas. A pesquisa realizada pela 1Password revelou que 61% dos entrevistados já foram vítimas de phishing, e 75% não verificam URLs antes de clicar em links. Diante do aumento das ameaças de phishing, especialmente com o uso de ferramentas de IA por atacantes, essa nova camada de proteção é crucial para a segurança dos usuários.

Durante períodos de férias, os golpistas aproveitam para aplicar o golpe da falsa agência de viagens, criando sites que imitam agências legítimas. Esses sites frequentemente apresentam ofertas irresistíveis, como pacotes de resorts a preços muito baixos, utilizando gatilhos mentais de urgência para forçar pagamentos rápidos. O usuário, atraído por essas ofertas, pode acabar fornecendo dados pessoais e financeiros, que são utilizados para fraudes. Para evitar cair nesse tipo de golpe, é essencial ter atenção redobrada. Descontos acima de 50% devem levantar suspeitas, assim como a exigência de pagamentos via Pix ou transferências para CPFs. Verificar a legitimidade da agência através de ferramentas como o Cadastur e consultar o CNPJ no Ministério do Turismo são passos fundamentais. Caso alguém caia no golpe, é recomendado registrar um boletim de ocorrência e tentar reaver o valor pago, embora a recuperação seja difícil devido à rapidez com que os golpistas movimentam o dinheiro. A melhor defesa é o ceticismo e a pesquisa minuciosa antes de qualquer compra.

O grupo de extorsão ShinyHunters está por trás de uma série de ataques de vishing, visando contas de autenticação única (SSO) em plataformas como Okta, Microsoft e Google. Os atacantes se passam por suporte de TI e ligam para funcionários, induzindo-os a inserir suas credenciais e códigos de autenticação multifator (MFA) em sites de phishing que imitam portais de login corporativos. Uma vez que as contas SSO são comprometidas, os atacantes têm acesso a uma gama de aplicativos e serviços conectados, como Salesforce e Microsoft 365, facilitando o roubo de dados corporativos. A Okta confirmou a utilização de kits de phishing que permitem aos atacantes manipular o que a vítima vê em tempo real durante a ligação, guiando-os no processo de login e autenticação. O grupo ShinyHunters também afirmou que está utilizando dados de violações anteriores para identificar e contatar os funcionários, tornando os ataques mais convincentes. A situação é preocupante, pois as contas SSO comprometidas podem servir como portas de entrada para sistemas corporativos inteiros, aumentando o risco de extorsão e vazamento de dados.

A Microsoft anunciou a implementação de um novo recurso de segurança no Microsoft Teams, chamado “Brand Impersonation Protection” (Proteção contra Falsificação de Marca), que visa proteger os usuários contra fraudes em chamadas VoIP. A partir de fevereiro, a ferramenta começará a ser disponibilizada em um canal de distribuição selecionado. O objetivo principal é alertar os usuários sobre chamadas externas que possam utilizar engenharia social para roubar dados. O sistema realiza uma verificação das chamadas recebidas de contatos externos pela primeira vez, identificando possíveis fraudes antes mesmo que a ligação seja atendida. Caso o usuário aceite uma chamada sinalizada como suspeita, os avisos continuarão durante a conversa, caso os sinais de fraude persistam. A Microsoft destaca que essa medida é crucial para proteger informações confidenciais, especialmente em um ambiente corporativo onde o Teams é amplamente utilizado. A expectativa é que essa nova funcionalidade ajude a mitigar ataques de engenharia social, que podem resultar em prejuízos significativos para as empresas, especialmente em fraudes bancárias.

Pesquisadores de cibersegurança revelaram uma nova campanha de ataque que utiliza credenciais roubadas para implantar software legítimo de Monitoramento e Gerenciamento Remoto (RMM), permitindo acesso remoto persistente a sistemas comprometidos. Os atacantes, em vez de usar vírus personalizados, exploram ferramentas de TI confiáveis pelos administradores, transformando-as em portas dos fundos. A campanha ocorre em duas fases: inicialmente, e-mails falsos disfarçados de convites da plataforma Greenvelope são enviados para roubar credenciais de serviços como Microsoft Outlook e Yahoo!. Após obter essas informações, os atacantes registram-se no LogMeIn com o e-mail comprometido para gerar tokens de acesso RMM. Um executável chamado ‘GreenVelopeCard.exe’, assinado com um certificado válido, é então utilizado para instalar o LogMeIn Resolve, permitindo que os atacantes alterem configurações de serviço e criem tarefas agendadas ocultas para garantir acesso contínuo. Para mitigar essa ameaça, recomenda-se que as organizações monitorem instalações e padrões de uso não autorizados de RMM.