Por Lillian Sibila Dala Costa • Editado por Jones Oliveira | 09/01/2026 às 10:45
A Inteligência de Ameaças da Microsoft emitiu um relatório na última terça-feira (6) avisando sobre a exploração de roteamento de e-mails mal configurada, que pode ser usada para spoofing, distribuindo mensagens que parecem ter sido mandadas por equipes internas aos funcionários, gerando phishing difícil de detectar.
Em e-mails fraudulentos estudados pela empresa, foi notado o uso de plataformas de phishing-as-a-service (PhaaS) como a Tycoon 2FA. As mensagens dos hackers contêm iscas com temas como mensagens de voz, documentos compartilhados, comunicações dos departamentos de recursos humanos, redefinição ou expiração de senhas e mais.
A tática de phishing em si não é nova, mas, desde maio de 2025, campanhas oportunistas mirando em organizações e verticais industriais diversas cresceram muito, especialmente nos e-mails de spoofing incluindo golpes financeiros. Roubando credenciais através dos ataques, os hackers conseguem coletar dados sensíveis das empresas e comprometer e-mails corporativos (BEC).
Segundo a Microsoft, o problema surge, principalmente, em cenários onde o locatário digital configurou um cenário de roteamento complexo, mas não implementou proteções contra spoofing de maneira adequada. Um exemplo é o registro de troca de e-mails (MX Record) em ambientes Exchange ou serviços de terceiros antes de chegar ao Microsoft 365.
Com isso, é possível enviar mensagens falsas que parecem ter origem no domínio do locatário. Só em outubro do ano passado, a Microsoft afirma ter bloqueado mais de 13 milhões de e-mails maliciosos gerados pelo kit PhaaS Tycoon 2FA.
Os ataques vistos contêm, principalmente, tentativas de fazer com que funcionários paguem boletos falsos ou assinem documentos DocuSign. O spoofing chega a incluir formulários da receita federal com nome e número de identidade dos indivíduos envolvidos. Os e-mails podem incluir links clicáveis ou códigos QR para “facilitar” o pagamento. É comum que a comunicação interna fraudulenta tenha o mesmo e-mail nos campos “De” e “Para”.
Segundo a Microsoft, para se proteger, as organizações devem ter rejeições de Autenticação, Reporte e Conformidade de Mensagens Baseadas em Domínio (DMARC) bastante estritas, além de medidas de falha de Frameworks de Políticas de Envio (SPF). Serviços de filtragem e arquivamento de spam devem ser bem configurados e usados.